Forums d'entraide informatique - Astuces - Conseils

Admin · 21-08-2008 20:29:46

Installer jigdo
Méthode Woody
Jigdo est un programme relativement récent, et la version de la Woody est trop vieille et n’est plus supportée. Il faut donc
installer le package jigdo-ﬁle de la testing. Pour cela, allez sur la page web du package
(http://packages.debian.org/testing/util … 57;le.html), cliquez sur le bouton Go to download page et récupérez le
package depuis l’un des nombreux miroirs proposés.
Installez le package :
# dpkg -i jigdo-file_version_i386.deb
Méthode Sid
Installez simplement le package de jigdo :
# apt-get install jigdo-file
Choisir le ﬁchier jigdo
A chaque CD correspond un ﬁchier jigdo qui décrit son contenu et permet à jigdo de télécharger les bons ﬁchiers. Sur la
page consacrée à jigdo (http://www.fr.debian.org/CD/jigdo-cd/) du site ofﬁciel Debian, vous trouverez les URLs des
ﬁchiers jigdo correspondant aux CDs (ou même aux DVDs) que vous voulez graver (Debian stable, testing ou unstable).
Lancer jigdo
Lancez le programme jigdo-lite avec en paramètre l’URL du ﬁchier jigdo du CD que vous voulez créer. Par exemple, pour
créer le premier CD de la woody dans sa version non-US en téléchargeant le ﬁchier jigdo depuis le miroir américain :
% jigdo-lite http://us.cdimage.debian.org/jigdo-area … ONUS.jigdo
Il va alors télécharger le ﬁchier jigdo. Ensuite, il vous demande si vous avez une version moins récente du CD que vous
voulez créer ; en effet, jigdo est capable de travailler par différence avec un autre CD et ne télécharge alors que les ﬁchiers
qui ont changé. Si vous avez un tel CD, montez-le et indiquez-lui le point de montage.
284Annexe L. Créer des CD Debian
Ensuite, il vous demande l’adresse du miroir Debian que vous voulez utiliser. Entrez l’adresse du miroir Debian le plus
rapide pour vous ; par exemple, s’il s’agit du miroir Debian ofﬁciel français, tapez ftp://ftp.fr.debian.org/debian/ .
Il va ensuite télécharger un ﬁchier template (dans notre exemple woody-i386-1.template), puis tous les ﬁchiers
nécessaires à la création du CD. Une fois qu’il a ﬁni de créer l’image, il vériﬁe la somme MD5 du CD et vous annonce, si
la somme est bonne, que le CD est OK !
Graver le CD
Il ne vous reste plus qu’à graver l’image ISO sur un CD vierge ou un CD-RW, en suivant les instructions du chapitre
chapitre Graver en console ou du chapitre Graver des CDs audio et des CDs de données.
285Annexe M. Outils Windows pour Linuxiens
De plus en plus de programmes Linux sont portés sous Windows... ce qui permet aux Linuxiens de retrouver leurs logiciels
favoris quand ils sont sous Windows ! Certains programmes ont aussi été développés spécialement pour permettre une
interopérabilité Linux/Windows.
GNUwin
Le projet GNUwin (http://gnuwin.epﬂ.ch/apps/fr/index.html) regroupe un grand nombre de logiciels libres fonctionnant
sous Windows. Dans la liste des logiciels proposés, nous utilisons notamment PuTTY :
PuTTY
PuTTY (http://www.chiark.greenend.org.uk/~sgta … nload.html) est un client Telnet et SSH.
Figure M-1. PuTTY
Cygwin
Cygwin (http://www.cygwin.com) est un environnement Unix complet pour Windows. Il permet de se servir de très
nombreux programmes Unix tel qu’un serveur graphique, un certain nombre d’applications graphiques et la plupart des
outils en ligne de commande (comme cvs par exemple).
Son installation est expliquée au chapitre Faire de l’export display.
286Annexe M. Outils Windows pour Linuxiens
Figure M-2. Cygwin
WinSCP
WinSCP (http://winscp.sourceforge.net/eng/) est un client SFTP pour Windows sous licence GPL. Il marche exactement
comme un client FTP, mais il utilise le protocole SSH pour sécuriser les transferts de mots de passes et de ﬁchiers.
Figure M-3. WinSCP
Explore2fs
Explore2fs (http://uranus.it.swin.edu.au/~jn/linux/explore2fs.htm) est un programme GPL qui permet de lire ses partitions
287Annexe M. Outils Windows pour Linuxiens
Linux de type Ext2 et/ou Ext3 depuis Windows. Attention, pour se servir de ce programme sous Windows NT / 2000 / XP
Pro, il faut avoir les privilèges d’administrateur.
Figure M-4. Explore2fs
288Annexe N. Firewalling et partage de connexion Internet
Important : Cette partie requière des connaissances de base en réseau. Lien
(http://www.via.ecp.fr/~bbp/formation-re … ansmission) vers une formation VIA à ce sujet.
Le partage de connexion Internet se fait sous Linux grâce aux fonctions de ﬁrewalling du noyau... d’où le regroupement
des explications sur le ﬁrewalling et sur le partage de connexion Internet dans ce chapitre !
Note : Pour l’instant, ce chapitre n’est adapté que pour la Woody, mais pas encore pour la Sid... j’espère que ça
viendra vite ! [TODO : mettre à jour]
Le partage de connexion Internet
L’idée est d’ajouter à votre ordinateur sous Linux la fonction de serveur NAT, qui va vous permettre de partager votre
connexion avec d’autres machines. Votre ordinateur sous Linux aura deux interfaces réseau :
• une interface connectée à Internet via une connexion modem par exemple : cette interface aura une adresse IP publique
(interface eth0 sur les schémas) ;
• une interface connectée à votre réseau local doté d’un adressage privé : cette interface servira de passerelle pour les
ordinateurs du réseau local (interface eth1 sur les schémas).
Figure N-1. Schéma d’un NAT avec 2 machines
289Annexe N. Firewalling et partage de connexion Internet
Figure N-2. Schéma d’un NAT avec plusieurs machines
Note : FAI = Fournisseur d’Accès Internet.
Avec cette conﬁguration, seul le serveur NAT est directement joignable depuis Internet ; les ordinateurs du réseau local ne
sont a priori pas joignables directement depuis Internet... sauf si on fait du port forwarding. Par exemple, pour que le
serveur Web qui tourne sur le port 80 de la machine dont l’adresse IP est 192.168.0.3 soit joignable de l’extérieur via le
serveur NAT, il faut forwarder les requêtes TCP arrivant sur le port 80 du serveur NAT vers la machine dont l’IP est
192.168.0.3... et la réponse à la requête sera alors correctement forwardée vers Internet au client qui a initié la requête.
Note : Pour améliorer les temps de réponses des requêtes DNS, il pourra être intéressant de mettre en place un
serveur DNS de type indépendant sur le serveur NAT, comme expliqué au chapitre Monter un serveur DNS, et
d’indiquer dans la conﬁguration réseau des ordinateurs du réseau local l’adresse 192.168.0.1 comme premier serveur
DNS.
Etablir des règles de ﬁrewalling et/ou de partage de connexion
Conﬁguration du noyau
Le noyau doit avoir les fonctions de ﬁrewalling activées. Si vous ne les avez pas compilées dans votre noyau actuel, vous
devrez recompiler le noyau en vous référant aux chapitres Conﬁguration du noyau Linux et Compiler le noyau.
Apprendre la syntaxe iptables
La sytaxe d’iptables est très complète... et je n’ai malheureusement pas l’intention de l’expliquer dans cette annexe. Je l’ai
personnellement apprise dans le Hors Série Linux Magazine n◦12 dédié aux ﬁrewalls. Si vous maîtrisez l’anglais, vous
pouvez vous attaquer au Tutoriel iptables (http://iptables-tutorial.frozentux.net/ … orial.html).
Conﬁgurer iptables
Le package iptables, qui contient le programme du même nom qui permet de conﬁgurer les fonctions de ﬁrewalling des
noyaux Linux 2.4, est normalement installé par défaut.
290Annexe N. Firewalling et partage de connexion Internet
Nous allons mettre en place deux scripts à l’aide de mes ﬁchiers d’exemple :
• le script /etc/network/if-pre-up.d/iptables-start.sh qui démarre les règles de ﬁltrage :
# cp ~/config/iptables-start.sh /etc/network/if-pre-up.d/
ou :
% wget http://www.via.ecp.fr/~alexis/formation … s-start.sh
# cp iptables-start.sh /etc/network/if-pre-up.d/
• le script /etc/network/if-post-down.d/iptables-stop.sh qui arrête le ﬁltrage :
# cp ~/config/iptables-stop.sh /etc/network/if-post-down.d/
ou :
% wget http://www.via.ecp.fr/~alexis/formation … es-stop.sh
# cp iptables-stop.sh /etc/network/if-post-down.d/
N’oubliez pas de rendre ces scripts exécutables :
# chmod 755 /etc/network/if-pre-up.d/iptables-start.sh
# chmod 755 /etc/network/if-post-down.d/iptables-stop.sh
Ces scripts vous permettront de démarrer et d’arrêter le ﬁltrage iptables en les exécutant "à la main" en tant que root. Ils
vous permettront également d’automatiser le démarrage du ﬁltrage juste avant de conﬁgurer votre interface réseau ; et
l’arrêt du ﬁltrage juste après avoir déconﬁguré votre interface réseau.
Pour automatiser le démarrage et l’arrêt des règles iptables, modiﬁez le ﬁchier /etc/network/interfaces en rajoutant
deux lignes qui appellent les scripts dans la section qui concerne l’interface de loopback, comme dans l’exemple
ci-dessous :
# /etc/network/interfaces
# Fichier de configuration d’exemple des interfaces réseau
# avec règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
# Plus d’informations dans "man interfaces"
# L’interface "loopback"
auto lo
iface lo inet loopback
# Démarrage et arrêt automatique des règles "iptables"
pre-up /etc/network/if-pre-up.d/iptables-start.sh
post-down /etc/network/if-post-down.d/iptables-stop.sh
# L’interface "eth0" connectée à Internet (configuration par DHCP)
auto eth0
iface eth0 inet dhcp
291Annexe N. Firewalling et partage de connexion Internet
Personnaliser les règles de ﬁltrage
Personnalisez mon script d’exemple /etc/network/if-pre-up.d/iptables-start.sh qui contient les règles de
ﬁltrage :
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start.sh
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des règles de FIREWALLING
# DEBUT des politiques par défaut
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
# FIN des politiques par défaut
# J’accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# J’autorise les connexions TCP entrantes sur les ports 20 et 21
# (pour que mon serveur FTP soit joignable de l’extérieur)
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# J’autorise les connexions TCP entrantes sur le port 22
# (pour que mon serveur SSH soit joignable de l’extérieur)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# J’autorise les connexions TCP entrantes sur le port 25
# (pour que mon serveur de mail soit joignable de l’extérieur)
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# J’autorise les connexions TCP et UDP entrantes sur le port 53
# (pour que mon serveur DNS soit joignable de l’extérieur)
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
# J’autorise les connexions TCP entrantes sur le port 80
# (pour que mon serveur HTTP soit joignable de l’extérieur)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# J’autorise les connexions TCP et UDP entrantes sur le port 139
# mais uniquement sur l’interface "eth1"
# (pour que mon serveur Samba soit joignable depuis mon LAN seulement)
292Annexe N. Firewalling et partage de connexion Internet
iptables -A INPUT -p tcp --dport 139 -i eth1 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -i eth1 -j ACCEPT
# J’autorise les connexions UDP entrantes sur le port 177
# (pour que des clients puissent se connecter à mon système par XDMCP)
iptables -A INPUT -p udp --dport 177 -j ACCEPT
# J’autorise les connexions TCP entrantes sur le port 6001
# (pour que je puisse me connecter par XDMCP à une machine distante)
iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# J’autorise les connexions TCP entrantes sur le port 2401
# (pour permettre l’accès au CVS à des utilisateurs qui n’ont
# pas de compte sur le système via le "pserver")
iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# J’autorise les flux UDP entrants sur le port 1234
# (pour pourvoir reçevoir les flux VideoLAN)
iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# J’autorise les flux UDP envoyés sur l’adresse multicast 224.2.127.254
# et dont le port destination est 9875 (pour reçevoir les annonces SAP)
iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# J’autorise les flux TCP et UDP entrants nécessaires au fonctionnement
# de GnomeMeeting
iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# J’accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J’accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# Pas de filtrage sur l’interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n’est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de FIREWALLING
# DEBUT des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
# Je veux que mon système fasse office de "serveur NAT"
# (Remplaçez "eth0" par votre interface connectée à Internet)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# FIN des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
# DEBUT des règles de PORT FORWARDING
# Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
# à la machine dont l’IP est 192.168.0.3 sur son port 80
293Annexe N. Firewalling et partage de connexion Internet
# (la réponse à la requête sera forwardée au client)
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80
# FIN des règles de PORT FORWARDING
Conﬁgurer le réseau pour le partage de connexion
Si vous désirez mettre en place un partage de connexion Internet, il faut commencer par bien conﬁgurer les interfaces
réseau du serveur NAT et ne pas oublier d’activer la fonction de forwarding IP au niveau du noyau.
Par exemple, pour un serveur NAT dont l’interface réseau connectée au réseau extérieur est eth0 avec conﬁguration par
DHCP et dont l’interface connectée au réseau local est eth1, le ﬁchier /etc/network/interfaces doit ressembler à
l’exemple suivant :
# /etc/network/interfaces
# Fichier de configuration d’exemple des interfaces réseau
# pour faire un serveur NAT
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
# Plus d’informations dans "man interfaces"
# L’interface "loopback"
auto lo
iface lo inet loopback
# Démarrage et arrêt automatique des règles "iptables"
pre-up /etc/network/if-pre-up.d/iptables-start.sh
post-down /etc/network/if-post-down.d/iptables-stop.sh
# L’interface "eth0" connectée à Internet (configuration par DHCP)
auto eth0
iface eth0 inet dhcp
# L’interface "eth1" connectée au réseau local (IP privée fixe)
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255
# Activation de la fonction de forwarding IP au niveau du noyau
up echo "1" > /proc/sys/net/ipv4/ip_forward
Démarrer le ﬁrewalling et/ou le partage de connexion
Une fois que vous avez bien conﬁguré le ﬁchier /etc/network/interfaces et personnalisé le script
/etc/network/if-pre-up.d/iptables-start.sh selon vos besoins, demandez au système de reconﬁgurer le réseau
:
# /etc/init.d/networking restart
294Annexe N. Firewalling et partage de connexion Internet
Afﬁcher la conﬁguration iptables
Pour afﬁcher la conﬁguration iptables actuelle, tapez :
• pour la table ﬁlter :
# iptables -v -L
• pour la table nat :
# iptables -v -L -t nat
295Annexe O. Monter un bridge (ﬁrewallant)
Important : Cette partie requière des connaissances de base en réseau Ethernet. Lien
(http://www.via.ecp.fr/~bbp/formation-re … ansmission) vers une formation VIA à ce sujet.
L’idée
L’idée est d’ajouter à votre ordinateur sous Linux la fonction de switch Ethernet aussi appelée bridge. Nous verrons
également comment cette fonction de bridge peut être perfectionnée en bridge ﬁrewallant.
Pour ajouter à votre ordinateur sous Linux cette fonction de bridge, il lui faut au minimum deux cartes réseau. Chaque
carte réseau devient alors l’équivalent d’un port du switch. Le bridge fonctionnera comme un switch Ethernet classique : il
apprend tout seul les adresses MAC qui sont derrière ses interfaces réseau et aiguille les paquets Ethernet comme un
switch. Par contre, contrairement à un switch classique, il ne croise pas la connexion réseau : il faudra donc relier le bridge
aux autres ordinateurs par des câbles croisés, et aux autres switchs par des câbles droits (les câbles "normaux" sont des
câbles droits).

Admin · 21-08-2008 20:29:58

Figure O-1. Schéma d’un bridge
Le Montage
Recompilation du noyau
Patcher le noyau pour faire un bridge ﬁrewallant
Si vous voulez faire un bridge ﬁrewallant, il faut commençer par "patcher", c’est à dire "modiﬁer par différence" les
sources du noyau. En effet, avec le code actuel du noyau Linux standard, les fonctions de ﬁrewalling ne marchent pas
quand le système fonctionne en bridge. Les patchs que je te propose d’appliquer vont modiﬁer les sources du noyau pour
pouvoir conserver les fonctions de ﬁrewalling quand le système fonctionne en bridge.
Je suppose que vous avez suivi cette formation depuis le début et que vous avez donc les sources du noyau 2.4.22 dans le
répertoire /usr/src/linux/. Nous allons appliquer le patch ebtables-brnf-version_vs_2.4.22.diff.
296Annexe O. Monter un bridge (ﬁrewallant)
Téléchargez la dernière version du patch sous forme de ﬁchier compressé depuis la page Ethernet bridge tables: File List
(http://sourceforge.net/project/show@ … p_id=39571) sur Sourceforge et déplacez-le dans le répertoire
/usr/src/.
Décompressez-le et appliquez-le sur les sources du noyau :
% cd /usr/src/
% gunzip ebtables-brnf-version_vs_2.4.22.diff.gz
% cd linux/
% patch -p1 < ../ebtables-brnf-version_vs_2.4.22.diff
Conﬁgurer le noyau
Suivez les instructions du chapitre Conﬁguration du noyau Linux et, dans le menu Networking options, mettez en module
l’option 802.1d Ethernet Bridging.
Compiler et installer le noyau
Suivez les instructions du chapitre Compiler le noyau avec seulement une petite différence au niveau du ﬁchier
/etc/modutils/reseau : il faut ajouter un alias pour l’interface bridge br0 :
alias eth0 nom_du_module_de_la_carte_réseau_n◦1
alias eth1 nom_du_module_de_la_carte_réseau_n◦2
alias eth2 nom_du_module_de_la_carte_réseau_n◦3
alias br0 bridge
Détection des multiples cartes réseau
La première chose à faire est de mettre les cartes réseaux dans le futur bridge et de s’assurer qu’il les détecte bien au
démarrage et leur donne des IRQs et des ports I/O différents. Pour le voir, il sufﬁt de regarder les messages au démarrage.
On les obtient en tapant dmesg.
Par exemple, pour une machine avec deux cartes réseau 3Com identiques, les lignes suivantes apparaîssent au démarrage :
00:09.0: 3Com PCI 3c905C Tornado at 0xe000. Vers LK1.1.16
00:0b.0: 3Com PCI 3c905C Tornado at 0xe400. Vers LK1.1.16
Si ça ne marche pas du premier coup... dommage. Munissez-vous des drivers des cartes, en particulier des programmes
(souvent sous DOS) permettant de conﬁgurer l’IRQ et le port I/O des cartes. Débrouillez-vous comme vous voulez (s’il le
faut en mettant une carte puis l’autre), mais il faut des IRQ et des port I/O différents pour chaque carte. Si vous n’arrivez
toujours pas à voir les deux cartes en même temps (typiquement un des deux programmes de conﬁguration ne voit pas la
carte), essayez d’échanger les deux cartes sur la carte mère.
Conﬁguration du bridge
Installer le programme de gestion des bridges
# apt-get install bridge-utils
297Annexe O. Monter un bridge (ﬁrewallant)
Lancer le bridge au démarrage
Tout d’abord, il faut voir quelle adresse MAC va prendre l’interface du bridge, désignée par br0. C’est très important pour
pouvoir utiliser le DHCP et aussi pour ne pas perturber les outils de surveillance de certains réseau (comme celui de VIA).
Il faut savoir que le bridge choisi son adresse MAC parmi les adresses MAC des différentes interfaces réseau du bridge et
qu’il prend la plus petite d’entre-elles. Pour être plus précis, il lit les adresses MAC des interfaces réseau (eth0, eth1,
eth2,...) de gauche à droite et note la première différence : il les compare et donne au bridge l’adresse MAC où la première
différence est la plus faible. Attention, les adresses MAC sont notées en hexadécimal, donc les chiffres sont plus faibles
que les lettres.
Par exemple, sur un bridge avec deux cartes réseau :
• Adresse MAC d’eth0 : 00:01:02:1E:9B:8B
• Adresse MAC d’eth1 : 00:01:02:AC:CA:D4
On lit de gauche à droite, et on note la première différence : elle intervient au niveau du septième caractère où on a 1 pour
eth0 et A pour eth1. Comme les nombres sont plus faibles que les lettres, c’est eth0 qui a la MAC la plus faible. Donc le
bridge prendra la MAC d’eth0.
Maintenant que l’on sait quelle MAC prend le bridge, il faut demander à son administrateur réseau de modiﬁer le DHCP si
nécessaire (c’est le cas du réseau VIA...).
Nous allons maintenant modiﬁer le ﬁchier de conﬁguration des interfaces réseau /etc/network/interfaces en
utilisant mon ﬁchier de conﬁguration d’exemple et en le personnalisant :
# mv /etc/network/interfaces /etc/network/interfaces.old
# cp ~/config/interfaces-bridge /etc/network/interfaces
ou :
% wget http://www.via.ecp.fr/~alexis/formation … ces-bridge
# mv /etc/network/interfaces /etc/network/interfaces.old
# mv interfaces-bridge /etc/network/interfaces
Personnalisez le nouveau ﬁchier /etc/network/interfaces ; les lignes de commentaire doivent vous permettre de
comprendre chaque paramètre :
# /etc/network/interfaces
# Fichier de configuration d’exemple des interfaces réseau
# pour faire un bridge
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
# Plus d’informations dans "man interfaces"
# et dans "/usr/share/doc/bridge-utils/README.Debian.gz"
# D’abord l’interface "loopback"
auto lo
iface lo inet loopback
# Ensuite l’interface bridge "br0" qui se configure par DHCP
auto br0
iface br0 inet dhcp
# Liste des interfaces qui participent au bridge
# ATTENTION :
# Il faut mettre l’interface dont la MAC est la plus petite d’abord !
# Sinon, cela peut perturber les outils de surveillance du réseau.
bridge_ports eth0 eth1 eth2
# Je désactive le Spanning tree
298Annexe O. Monter un bridge (ﬁrewallant)
bridge_stp off
# Temps en secondes entre "learning state" et "forwarding state"
bridge_fd 2
# Temps maximum en secondes où le script de lancement du bridge
# attendra lors du démarrage que le bridge passe en mode "forwarding
# state" pour passer la main et laisser les autres services démarrer.
bridge_maxwait 0
Relancez la conﬁguration des interfaces réseau :
# /etc/init.d/networking restart
Reconfiguring network interfaces: done.
Pendant ce redémarrage, regardez votre console de log (si vous avez suivi la formation depuis le début, c’est la huitième
console) ou faites apparaître la ﬁn du syslog en direct avec la commande :
% tail -f /varlog/syslog
Vous verrez alors 3 étapes dans la lancement du bridge :
1. listening : il regarde sur les interfaces réseau physiques les packets qui arrivent,
2. learning : il en déduit la conﬁguration du réseau tout seul, notamment quelles adresses MAC sont derrière quels ports,
3. forwarding : le bridge se met à fonctionner, le réseau marche enﬁn !
299Annexe P. Monter un proxy-ARP
Note : Annexe écrite à partir d’une première version (http://robert.cheramy.net/documentation/proxyarp/) de Robert
Cheramy.
Important : Cette partie requiert des connaissances de base en réseau Ethernet et IP. Lien
(http://www.via.ecp.fr/~bbp/formation-re … ansmission) vers une formation VIA à ce sujet.
L’idée
Le proxy-ARP rejoint le principe du bridge (expliqué dans l’annexe précédente Monter un bridge (ﬁrewallant)) dans le
sens où il permet de connecter plusieurs machines au réseau avec une machine centrale sous Linux. Par contre,
contrairement au bridge qui agit au niveau Ethernet (i.e. layer 2), le proxy-ARP agit au niveau IP (i.e. layer 3). Cette
annexe va donc vous apprendre à faire des tables de routage sous Linux !
Figure P-1. Schéma d’un proxy-ARP
Le principe de fonctionnement
La théorie
Le proxy-ARP marche un peu comme un routeur :
• points communs : il possède une table de routage et modiﬁe les headers du niveau 2 en regardant les headers du niveau 3
;
• différences : les clients qui sont derrière le proxy-ARP sont conﬁgurés normalement, comme si le proxy-ARP n’existait
pas.
300Annexe P. Monter un proxy-ARP
En pratique
• Communication de la machine extérieur1 vers la machine client1 :
1. La machine extérieur1 émet une requête ARP :
"Qui est client1 ?" [ARP who-has client1]
2. Le proxy-arp répond à la place de client1 :
"Je suis client1, j’attends tes paquets" [ARP client1 is-at MAC_de_proxy-arp].
3. Désormais, la machine extérieur1 va transmettre tous ses paquets à destination de client1 à proxy-arp. Proxy-arp se
charge ensuite de les retransmettre à client1 en mettant sa MAC comme MAC source.
• Communication de client1 vers extérieur1 :
1. La machine client1 émet une requête ARP :
"Qui est extérieur1 ?" [ARP who-has extérieur1]
2. Le proxy-arp répond à la place d’ extérieur1 :
"Je suis extérieur1, j’attends tes paquets" [ARP extérieur1 is-at MAC_de_proxy-arp].
3. Désormais, la machine client1 va transmettre tous ses paquets à destination d’ extérieur1 à proxy-arp. Proxy-arp se
charge ensuite de les retransmettre à extérieur1 en mettant sa MAC comme MAC source.
Montage
Préliminaires
Tout d’abord, la machine qui sert de proxy-ARP doit avoir plusieurs cartes réseau (autant que de machines derrière le
proxy-ARP plus une carte réseau à connecter vers le réseau extérieur). Les modules correspondant à ces multiples cartes
réseau doivent être compilés et installés. Les alias faisant la correspondance entre les interfaces réseau et les noms des
modules à charger doivent être écrits dans un ﬁchier du type /etc/modutils/reseau contenant :
alias eth0 nom_du_module_de_la_carte_réseau_n◦1
alias eth1 nom_du_module_de_la_carte_réseau_n◦2
alias eth2 nom_du_module_de_la_carte_réseau_n◦3
N’oubliez pas d’exécuter la commande update-modules après toute modiﬁcation d’un ﬁchier dans le répertoire
/etc/modutils/.
Vériﬁez que toutes vos cartes réseau sont bien reconnues au démarrage.
Conﬁguration du réseau du proxy-ARP
Pour plus de précisions concernant ce qui suit, je vous invite à consulter man interfaces et man route.
Nous allons maintenant modiﬁer le ﬁchier de conﬁguration des interfaces réseau /etc/network/interfaces en
utilisant mon ﬁchier de conﬁguration d’exemple et en le personnalisant :
# mv /etc/network/interfaces /etc/network/interfaces.old
301Annexe P. Monter un proxy-ARP
# cp ~/config/interfaces-proxy-arp /etc/network/interfaces
ou :
% wget http://www.via.ecp.fr/~alexis/formation … -proxy-arp
# mv /etc/network/interfaces /etc/network/interfaces.old
# mv interfaces-proxy-arp /etc/network/interfaces
Personnalisez le nouveau ﬁchier /etc/network/interfaces ; les lignes de commentaire doivent vous permettre de
comprendre chaque paramètre :
# /etc/network/interfaces
# Fichier de configuration d’exemple des interfaces réseau
# pour faire un Proxy-ARP
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
# Plus d’informations dans "man interfaces" et "man route"
# L’interface de loopback
auto lo
iface lo inet loopback
# Configuration de l’interface eth0, connectée au réseau extérieur
auto eth0
iface eth0 inet static
# Adresse IP du proxy-arp :
address 138.195.152.12
# Masque de sous-réseau du réseau extérieur :
netmask 255.255.255.128
# Adresse de broadcast du réseau extérieur :
broadcast 138.195.152.127
# Adresse de la passerelle du réseau extérieur :
gateway 138.195.152.1
# Configuration de l’interface eth1, connectée à client1
auto eth1
iface eth1 inet static
# Adresse IP du proxy-arp :
address 138.195.152.12
# Masque du sous-réseau du réseau extérieur :
netmask 255.255.255.128
# Adresse de broadcast du réseau extérieur :
broadcast 138.195.152.127
# Route qui dit que client1 est derrière eth1 :
up route add 138.195.152.42 dev eth1
# Suppression d’une route ajoutée à tort par la ligne précédente
# 138.195.144.0 = adresse du réseau extérieur
# 255.255.240.0 = masque de sous-réseau du réseau extérieur
up route del -net 138.195.152.0 netmask 255.255.255.128 dev eth1
# Configuration de l’interface eth2, connectée à client2
auto eth2
iface eth2 inet static
# Adresse IP du proxy-arp :
address 138.195.152.12
# Masque du sous-réseau du réseau extérieur :
netmask 255.255.255.128
302Annexe P. Monter un proxy-ARP
# Adresse de broadcast du réseau extérieur :
broadcast 138.195.152.127
# Route qui dit que client2 est derrière eth2 :
up route add 138.195.152.43 dev eth2
# Suppression d’une route ajoutée à tort par la ligne précédente
# 138.195.144.0 = adresse du réseau extérieur
# 255.255.240.0 = masque de sous-réseau du réseau extérieur
up route del -net 138.195.152.0 netmask 255.255.255.128 dev eth2
# Activation du "forwarding IP" et du "proxy-arp" au niveau du noyau :
up echo "1" > /proc/sys/net/ipv4/ip_forward
up echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
Relancez la conﬁguration des interfaces réseau :
# /etc/init.d/networking restart
Vériﬁez que les changements ont bien été pris en compte :
% ifconfig
Vériﬁez que la table de routage est bonne :
% route -n
Dans l’exemple de ce chapitre, la table de routage est la suivante :
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
138.195.152.42 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
138.195.152.43 0.0.0.0 255.255.255.255 UH 0 0 0 eth2
138.195.152.0 0.0.0.0 255.255.255.128 U 0 0 0 eth0
0.0.0.0 138.195.152.1 0.0.0.0 UG 0 0 0 eth0
Conﬁguration du réseau des clients

Admin · 21-08-2008 20:30:10

Conﬁgurer un client Linux
La conﬁguration des clients est strictement identique à la conﬁguration qu’ils auraient s’ils n’étaient pas derrière le
proxy-ARP. Par contre, il faut déﬁnir leur IP en dur, pas par DHCP, car le broadcast est bloqué par le proxy-ARP.
Si le client est aussi une Debian, éditez le ﬁchier /etc/network/interfaces :
# /etc/network/interfaces de client1
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
# Adresse IP de client1 :
address 138.195.152.42
# Masque de sous-réseau du réseau extérieur :
netmask 255.255.255.128
# Adresse de broadcast du réseau extérieur :
broadcast 138.195.152.127
# Adresse de la passerelle du réseau extérieur :
303Annexe P. Monter un proxy-ARP
gateway 138.195.152.1
Pour que le système tienne compte des modiﬁcations :
# /etc/init.d/networking restart
Reconfiguring network interfaces: done.
Conﬁgurer un client Windows
La conﬁguration Windows est semblable, si vous avez compris, ça devrait aller.
Faire du DHCP relay
Le proxy-ARP bloque le broadcast des clients ; donc si ces derniers font une requête DHCP, elle n’atteindra pas le réseau
extérieur. Pour pallier à ce problème et faire en sorte que les clients puissent être conﬁgurés par DHCP, il faut installer un
relai DHCP sur le proxy-ARP.
Pour cela, installez le package suivant :
# apt-get install dhcp3-relay
Lors de la conﬁguration du package, il vous demande :
1. What DHCP servers should the DHCP relay forward requests to ? Entrez l’adresse IP du serveur DHCP du réseau
extérieur.
2. On what network interfaces should the DHCP server listen ? Si toutes les interfaces sont utilisées pour faire le
proxy-ARP, comme c’est le cas dans cet exemple, laissez le champ vide et validez.
Le ﬁchier de conﬁguration /etc/default/dhcp3-relay est alors généré, et le démon dhcrelay3 lançé. Si vous avez
besoin d’arrêter ou de relancer le démon, utilisez le script /etc/init.d/dhcp3-relay avec le bon argument.
Vous pouvez maintenant conﬁgurer le réseau de client1 et client2 par DHCP.
Astuce
Pensez a rajouter les IP de client1, client2 et proxy-arp dans les /etc/hosts des trois machines ; c’est plus pratique pour
travailler quand on est coupé du réseau...
304Annexe Q. Trucs et Astuces
Allumer le verrouillage numérique
Les utilisateurs d’un ordinateur ﬁxe sont souvent habitués à utiliser le pavé numérique... mais le NumLock n’est jamais
allumé par défaut sous Linux !
en console
Décommentez les lignes suivantes dans le ﬁchier zlogin (ce ﬁchier se trouve dans le répertoire /etc/ sur une Woody et
/etc/zsh/ sur une Sid :
# Pour les ordinateurs avec un pavé numérique...
# Active le pavé numérique quand on se loggue en console
case "‘tty‘" in /dev/tty[1-6]*)-
setleds +num
esac
sous X
Méthode Woody
Téléchargez la version de la Sid du package numlockx sur le site de Debian
(http://packages.debian.org/unstable/x11/numlockx.html) et installez-le avec dpkg :
# dpkg -i numlockx_version_i386.deb
Lors de l’installation du package, il vous demande Enable NumLock automatically ? : répondez Oui.
Si vous utilisez GDM, il faut ajouter le script de lancement de numlockx au script de lancement de GDM :
# cat /etc/X11/Xsession.d/55numlockx >> /etc/gdm/PreSession/Default
puis redémarrez GDM.
Méthode Sid
Installez simplement le package :
# apt-get install numlockx
Lors de l’installation du package, il vous demande Enable NumLock automatically ? : répondez Oui.
Si vous utilisez GDM, il faut ajouter le script de lancement de numlockx au script de lancement de GDM. Pour cela, éditez
le ﬁchier /etc/gdm/PreSession/Default et importez le contenu du ﬁchier /etc/X11/Xsession.d/55numlockx
après la première ligne qui commence par PATH= (commande :r nom_du_ﬁchier pour importer un ﬁchier sous vim), puis
redémarrez GDM.
305Annexe Q. Trucs et Astuces
Avoir un beau LILO
Méthode Woody
Pour avoir un beau LILO graphique avec une belle image, comme avec les autres distributions Linux, téléchargez la
dernière version de l’archive debian-bootscreen-version.tar.bz2 sur le site debian.newswriter.org
(http://debian.newswriter.org/).
Décompressez-la :
% tar xvjf debian-bootscreen-version.tar.bz2
Ensuite, copiez le ﬁchier contenant l’image du LILO graphique dans le répertoire /boot/ :
# cp debian-bootscreen-version/debian-bootscreen-woody.rle.bmp /boot/
Editez le ﬁchier /etc/lilo.conf et remplacez la ligne :
install=/boot/boot-menu.b
par les lignes :
install=/boot/boot-bmp.b
bitmap=/boot/debian-bootscreen-woody.rle.bmp
bmp-colors=1„0,2„0
bmp-table=120p,173p,1,15,17
bmp-timer=254p,432p,1,0,0
Méthode Sid
Le package lilo de la Sid inclus les ﬁchiers images. Il sufﬁt donc de modiﬁer le ﬁchier de conﬁguration de LILO ; éditez le
ﬁchier /etc/lilo.conf et remplacez la ligne :
install=/boot/boot-menu.b
par les lignes :
install=/boot/boot-bmp.b
bitmap=/usr/share/lilo/contrib/sid.bmp
bmp-colors=1„0,2„0
bmp-table=120p,173p,1,15,17
bmp-timer=254p,432p,1,0,0
Réécrire sur le MBR
Exécutez LILO pour qu’il écrive les changements sur le MBR :
# lilo
Au prochain redémarrage, vous pourrez alors découvrir un beau LILO graphique !
306Annexe Q. Trucs et Astuces
Figure Q-1. LILO graphique (Woody)
Faire du SSH à travers un ﬁrewall
Cas typique : vous êtes dans un entreprise et vous voulez vous connecter par SSH vers un serveur à l’extérieur du réseau de
l’entreprise... mais il y a un ﬁrewall entre le réseau interne et Internet !
Avertissement
L’utilisation des techniques décrites ci-dessous est peut-être interdite par l’entreprise.
Il y a trois possibilités, sachant que seule la dernière est potentiellement réalisable si vous ne pouvez pas modiﬁer la
conﬁguration du serveur.
Changer de port
Si le ﬁrewall a un port complètement ouvert (le port 80 par exemple), vous pouvez modiﬁer la conﬁguration du serveur
pour que son démon SSH écoute sur le port 80 en plus du port 22 (attention, il ne doit pas y avoir de serveur Web qui
écoute déjà sur le port 80). Pour cela, modiﬁez le ﬁchier de conﬁguration /etc/ssh/sshd_config pour qu’il contienne
les deux lignes suivantes :
Port 22
Port 80
Puis relancez le serveur SSH :
# /etc/init.d/ssh reload
Reloading OpenBSD Secure Shell server’s configuration.
Vous pouvez alors lancer votre client SSH en lui précisant d’utiliser le port 80 :
% ssh -p 80 login@nom_DNS_du_serveur
307Annexe Q. Trucs et Astuces
Monter un tunnel HTTP
Si le ﬁrewall surveille le port 80 et vériﬁe que seuls des packets HTTP passent par ce port, alors vous pouvez essayer
d’utiliser le programme httptunnel. Ce programme doit tourner sur le client et le serveur. Il encapsule dans une connexion
HTTP n’importe quel type de connexion (pas forcément une connexion SSH). Il permet aussi de faire passer la connexion
par un Proxy. Installez le package sur le client et sur le serveur :
# apt-get install httptunnel
Lancez le serveur httptunnel sur le serveur :
% hts -F localhost:22 8888
Puis lancez le client httptunnel sur le client :
% htc -F 2222 nom_DNS_du_serveur:8888
ou, si vous devez passer par un Proxy proxy.exemple.org qui écoute sur le port 8080 :
% htc -F 2222 -P proxy.exemple.org:8080 nom_DNS_du_serveur:8888
Vous pouvez alors lancer votre client SSH :
% ssh -p 2222 login@localhost
Utiliser un proxy HTTPS
Récupérez le script ssh-https-tunnel :
% wget http://www.snurgle.org/~griffon/ssh-https-tunnel
# mv ssh-https-tunnel /usr/local/bin/
Editez le ﬁchier /usr/local/bin/ssh-https-tunnel contenant le programme et rentrez le nom DNS et le port du
proxy du réseau interne dans les variables prévues à cet effet :
#### Configuration ####
my $proxy = "proxy.exemple.org";
my $proxy_port = 8080;
Créez (s’il n’existe pas déjà) un ﬁchier ~/.ssh/config contenant :
host nom_DNS_du_serveur
ProxyCommand /usr/local/bin/ssh-https-tunnel %h %p
Port 22
Puis essayez de vous connecter au serveur comme vous le faites normalement :
% ssh login@nom_DNS_du_serveur
Si cela ne marche pas, essayez de faire écouter le démon SSH du serveur sur le port 443 (port des connexions HTTP
sécurisées), comme expliqué dans la première possibilité, et modiﬁez le ﬁchier ~/.ssh/config en remplaçant 22 par
443, puis réessayez de vous connecter.
308Annexe R. GNU Free Documentation License
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.
PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful document "free" in the sense of
freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either
commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for
their work, while not being considered responsible for modiﬁcations made by others.
This License is a kind of "copyleft", which means that derivative works of the document must themselves be free in the
same sense. It complements the GNU General Public License, which is a copyleft license designed for free software.
We have designed this License in order to use it for manuals for free software, because free software needs free
documentation: a free program should come with manuals providing the same freedoms that the software does. But this
License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is
published as a printed book. We recommend this License principally for works whose purpose is instruction or reference.
APPLICABILITY AND DEFINITIONS
This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder
saying it can be distributed under the terms of this License. Such a notice grants a world-wide, royalty-free license,
unlimited in duration, to use that work under the conditions stated herein. The "Document", below, refers to any such
manual or work. Any member of the public is a licensee, and is addressed as "you". You accept the license if you copy,
modify or distribute the work in a way requiring permission under copyright law.
A "Modiﬁed Version" of the Document means any work containing the Document or a portion of it, either copied
verbatim, or with modiﬁcations and/or translated into another language.
A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the
relationship of the publishers or authors of the Document to the Document’s overall subject (or to related matters) and
contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of
mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of historical
connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position
regarding them.
The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in
the notice that says that the Document is released under this License. If a section does not ﬁt the above deﬁnition of
Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the
Document does not identify any Invariant Sections then there are none.
The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice
that says that the Document is released under this License. A Front-Cover Text may be at most 5 words, and a Back-Cover
Text may be at most 25 words.
A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose speciﬁcation is
available to the general public, that is suitable for revising the document straightforwardly with generic text editors or (for
images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is
suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters.
A copy made in an otherwise Transparent ﬁle format whose markup, or absence of markup, has been arranged to thwart or
309Annexe R. GNU Free Documentation License
discourage subsequent modiﬁcation by readers is not Transparent. An image format is not Transparent if used for any
substantial amount of text. A copy that is not "Transparent" is called "Opaque".
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX
input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF
designed for human modiﬁcation. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats
include proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the
DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced
by some word processors for output purposes only.
The "Title Page" means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly,
the material this License requires to appear in the title page. For works in formats which do not have any title page as such,
"Title Page" means the text near the most prominent appearance of the work’s title, preceding the beginning of the body of
the text.
A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in
parentheses following text that translates XYZ in another language. (Here XYZ stands for a speciﬁc section name
mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of
such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this deﬁnition.
The Document may include Warranty Disclaimers next to the notice which states that this License applies to the
Document. These Warranty Disclaimers are considered to be included by reference in this License, but only as regards
disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the
meaning of this License.
VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this
License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all
copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to
obstruct or control the reading or further copying of the copies you make or distribute. However, you may accept
compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the
conditions in section 3.
You may also lend copies, under the same conditions stated above, and you may publicly display copies.
COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more
than 100, and the Document’s license notice requires Cover Texts, you must enclose the copies in covers that carry, clearly
and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both
covers must also clearly and legibly identify you as the publisher of these copies. The front cover must present the full title
with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying
with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be
treated as verbatim copying in other respects.
If the required texts for either cover are too voluminous to ﬁt legibly, you should put the ﬁrst ones listed (as many as ﬁt
reasonably) on the actual cover, and continue the rest onto adjacent pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a
machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a
computer-network location from which the general network-using public has access to download using public-standard
network protocols a complete Transparent copy of the Document, free of added material. If you use the latter option, you
must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this
310Annexe R. GNU Free Documentation License
Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute
an Opaque copy (directly or through your agents or retailers) of that edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing any large number
of copies, to give them a chance to provide you with an updated version of the Document.
MODIFICATIONS
You may copy and distribute a Modiﬁed Version of the Document under the conditions of sections 2 and 3 above, provided
that you release the Modiﬁed Version under precisely this License, with the Modiﬁed Version ﬁlling the role of the
Document, thus licensing distribution and modiﬁcation of the Modiﬁed Version to whoever possesses a copy of it. In
addition, you must do these things in the Modiﬁed Version:
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous
versions (which should, if there were any, be listed in the History section of the Document). You may use the same
title as a previous version if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modiﬁcations in the
Modiﬁed Version, together with at least ﬁve of the principal authors of the Document (all of its principal authors, if it
has fewer than ﬁve), unless they release you from this requirement.
C. State on the Title page the name of the publisher of the Modiﬁed Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modiﬁcations adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modiﬁed
Version under the terms of this License, in the form shown in the Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document’s
license notice.
H. Include an unaltered copy of this License.
I. Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at least the title, year, new
authors, and publisher of the Modiﬁed Version as given on the Title Page. If there is no section Entitled "History" in
the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then
add an item describing the Modiﬁed Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document,
and likewise the network locations given in the Document for previous versions it was based on. These may be placed
in the "History" section. You may omit a network location for a work that was published at least four years before the
Document itself, or if the original publisher of the version it refers to gives permission.
K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of the section, and preserve in the
section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein.
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the
equivalent are not considered part of the section titles.
M. Delete any section Entitled "Endorsements". Such a section may not be included in the Modiﬁed Version.
N. Do not retitle any existing section to be Entitled "Endorsements" or to conﬂict in title with any Invariant Section.
O. Preserve any Warranty Disclaimers.
If the Modiﬁed Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no
material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this,
add their titles to the list of Invariant Sections in the Modiﬁed Version’s license notice. These titles must be distinct from
any other section titles.
311Annexe R. GNU Free Documentation License
You may add a section Entitled "Endorsements", provided it contains nothing but endorsements of your Modiﬁed Version
by various parties--for example, statements of peer review or that the text has been approved by an organization as the
authoritative deﬁnition of a standard.
You may add a passage of up to ﬁve words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to
the end of the list of Cover Texts in the Modiﬁed Version. Only one passage of Front-Cover Text and one of Back-Cover
Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for
the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may
not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for
or to assert or imply endorsement of any Modiﬁed Version.
COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the terms deﬁned in section 4
above for modiﬁed versions, provided that you include in the combination all of the Invariant Sections of all of the original
documents, unmodiﬁed, and list them all as Invariant Sections of your combined work in its license notice, and that you
preserve all their Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced
with a single copy. If there are multiple Invariant Sections with the same name but different contents, make the title of each
such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if
known, or else a unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the
license notice of the combined work.
In the combination, you must combine any sections Entitled "History" in the various original documents, forming one
section Entitled "History"; likewise combine any sections Entitled "Acknowledgements", and any sections Entitled
"Dedications". You must delete all sections Entitled "Endorsements".
COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this License, and replace the
individual copies of this License in the various documents with a single copy that is included in the collection, provided
that you follow the rules of this License for verbatim copying of each of the documents in all other respects.
You may extract a single document from such a collection, and distribute it individually under this License, provided you
insert a copy of this License into the extracted document, and follow this License in all other respects regarding verbatim
copying of that document.
AGGREGATION WITH INDEPENDENT WORKS
A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a
volume of a storage or distribution medium, is called an "aggregate" if the copyright resulting from the compilation is not
used to limit the legal rights of the compilation’s users beyond what the individual works permit. When the Document is
included an aggregate, this License does not apply to the other works in the aggregate which are not themselves derivative
works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than
one half of the entire aggregate, the Document’s Cover Texts may be placed on covers that bracket the Document within
the aggregate, or the electronic equivalent of covers if the Document is in electronic form. Otherwise they must appear on
printed covers that bracket the whole aggregate.
312Annexe R. GNU Free Documentation License
TRANSLATION
Translation is considered a kind of modiﬁcation, so you may distribute translations of the Document under the terms of
section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders, but you
may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections.
You may include a translation of this License, and all the license notices in the Document, and any Warrany Disclaimers,
provided that you also include the original English version of this License and the original versions of those notices and
disclaimers. In case of a disagreement between the translation and the original version of this License or a notice or
disclaimer, the original version will prevail.
If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", the requirement (section 4) to
Preserve its Title (section 1) will typically require changing the actual title.
TERMINATION
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this License. Any
other attempt to copy, modify, sublicense or distribute the Document is void, and will automatically terminate your rights
under this License. However, parties who have received copies, or rights, from you under this License will not have their
licenses terminated so long as such parties remain in full compliance.
FUTURE REVISIONS OF THIS LICENSE
The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to
time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or
concerns. See http://www.gnu.org/copyleft/.
Each version of the License is given a distinguishing version number. If the Document speciﬁes that a particular numbered
version of this License "or any later version" applies to it, you have the option of following the terms and conditions either
of that speciﬁed version or of any later version that has been published (not as a draft) by the Free Software Foundation. If
the Document does not specify a version number of this License, you may choose any version ever published (not as a
draft) by the Free Software Foundation.
ADDENDUM: How to use this License for your documents
To use this License in a document you have written, include a copy of the License in the document and put the following
copyright and license notices just after the title page:
Copyright (c) YEAR YOUR NAME. Permission is granted to copy, distribute and/or modify this document under the terms of the
GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant
Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free
Documentation License".
If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts, replace the "with...Texts." line with this:
with the Invariant Sections being LIST THEIR TITLES, with the Front-Cover Texts being LIST, and with the Back-Cover Texts
being LIST.
If you have Invariant Sections without Cover Texts, or some other combination of the three, merge those two alternatives to
suit the situation.
If your document contains nontrivial examples of program code, we recommend releasing these examples in parallel under
your choice of free software license, such as the GNU General Public License, to permit their use in free software.
313

Admin · 21-08-2008 20:31:15

Ce cours est disponible en intégralité (8 messages de ce forum)
à cette adresse http://www.parisdepannage.fr/dossiers/cours-linux.pdf

Forums d'entraide informatique - Astuces - Conseils

#1 21-08-2008 20:29:46

Formation à Linux (8)

#2 21-08-2008 20:29:58

Re: Formation à Linux (8)

#3 21-08-2008 20:30:10

Re: Formation à Linux (8)

#4 21-08-2008 20:31:15

Re: Formation à Linux (8)

Pied de page des forums