Principales caractéristiques de ma CFC Bering

Voici le contenu du texte d'accompagnement "f6hqz.txt" qui se trouve à la racine de la distribution :

LEAF "Bering" Firewall - V1.1
Jacques Nilo <jnilo@users.sourceforge.net>
Eric Wolzak  <leaf@wolzak.de>
Instruction & user's guide at:
http://leaf.sourceforge.net/devel/jnilo
February 16, 2003

Preparation F6HQZ f6hqz-m@easyconnect.fr :
ajout package PPPoE
ajout package IPSec
ajout de ip_conntrack_h323 et ip_nat_h323
ajout driver eth pour Soekris (dp83815)
ajout des modules necessaires aux CD, aux HD et CFC
ajout de regles dans shorewall pour les protocoles les plus frequents
portail captif pour les utilisateurs wireless non autorises
ecriture et ajout de checkip.dat dans /usr/sbin et declaration dans cron 
ajout de HostAP de Jouni Malinen
ajout des Wireless Tools de Jean Tourrilhes
ajout de sshd et sftp
modif des pages WEB internes
parametrage des divers modules et packages

J'ai préparé cette distribution afin d'éviter aux débutants pressés de perdre du temps à préparer "step by step" son environnement Bering en suivant les instructions d'installation sur le site d'origine de Bering sur SourceForge.

Lorsque vous aurez bien saisi son fonctionnement et son architecture, vous pourrez vous lancer dans la modification de ce superbe meccano, en partant de la dernière mouture disponible sur http://leaf.souceforge.net. Cette image de disquette est minimaliste mais (presque) opérationnelle. Elle est un début minimum, et nécessite de nombreux ajouts de modules et packages (dont PPPoE pour l'ADSL) afin de la voir tourner sur HD, CD, CFC avec les fonctions nécessaires à nos activités wireless radioamateurs, dont les principaux "DNAT" indispensables aux principaux logiciels que nous utilisons.

J'ai stocké un logiciel client ssh pour Windows à la racine de la distribution :
"putty.exe"
Il permet de prendre la main à distance sur votre PC Bering.
Vous serez à la console "comme à la maison".
C'est protégé contre des yeux curieux sur l'air ou Internet.
J'ai paramétré Bering en SSH2 seulement car SSH est désormais "éventé".

Le serveur SFTP permet de transférer fichiers et packages via un client SFTP (FTP sous SSH2) tel que l'excellent FileZilla que je vous recommande chaudement.

Vous trouverez, dans /boot/etc/modules :
 cdrom.o
 ide-mod.o
 ide-cd.o
 ide-probe-mod.o
 isofs.o

Tous indispensables au bon fonctionnement des disques durs, et lecteurs de CD.

Telle qu'elle est ici, vous pourrez la faire tourner immédiatement dans une CFC installée comme mémoire de masse dans un PC miniature Soekris type net4511, net4521, net4801.

Le format de stockage utilisé est MSDOS, ça marche aussi sous Linux ;-)

Le GROS intérêt est que vous pouvez préparer, copier, transférer, archiver tous les fichiers, modules et packages entre votre PC sous Windows le PC utilisé pour Bering ! Je maintien ma CFC bootable  pour Soekris directement dans un lecteur de cartouches mémoires connecté à mon PC sous Windows XP. LA préparation d'une image ISO pour booter depuis un CD reste aussi simple : déplacement des packages dans un répertoire spécial, avec la souris...

Si vous souhaitez faire tourner cette distribution prémâchée, il faut changer quelques paramètres du fichier "syslinux.cgf" ou du moins la partie qui fixe les paths, voici l'original pour CFC :

boot=/dev/hda1:msdos KGPATH=/dev/hda1:msdos

"hda1" est utilisé lorsque la distrib se trouve sur une CFC ou un hard disk. Un floppy 1680 ko (superdisquette) serait "fd0u1680:msdos". Un CD bootable serait "cdrom:iso9660" (il faut aussi "transformer" "syslinux.cfg" en "isolinux.cfg".

Lors de l'utilisation d'un CD, vous pouvez sauver vos changements de paramètres sur une disquette. Elle sera prioritaire sur la séquence normale de chargement des packages du CD, c-a-d les packages présents sur la disquette seront chargés en lieu et place de ceux présents sur le CD.

Voici la liste des modules qui tournent chez moi :

Modules
 ipsec                 256960   4
 hostap_cs              44248   2
 hostap                 63920   0 [hostap_cs]
 hostap_crypt            1092   0 [hostap]
 ds                      6796   2 [hostap_cs]
 i82365                 27044   2
 pcmcia_core            41088   0 [hostap_cs ds i82365]
 ip_nat_h323             2336   0 (unused)
 ip_nat_irc              2176   0 (unused)
 ip_nat_ftp              2784   0 (unused)
 ip_conntrack_h323       2048   1
 ip_conntrack_irc        2880   1
 ip_conntrack_ftp        3648   1
 pppoe                   6784   2
 pppox                   1000   1 [pppoe]
 ppp_synctty             4728   0 (unused)
 ppp_generic            16152   3 [pppoe pppox ppp_synctty]
 n_hdlc                  5792   0 (unused)
 slhc                    4352   0 [ppp_generic]
 dp83815                 7956   2
 isofs                  17032   0 (unused)
 ide-probe-mod           8476   0
 ide-disk                9304   0
 ide-cd                 26956   0
 ide-mod                63076   0 [ide-probe-mod ide-disk ide-cd]
 cdrom                  26912   0 [ide-cd]
 

Et la version des packages installés :

 Name            Version        Description
 ===============-==============-===============================
 
 initrd          V1.2           LEAF Bering initial filesystem
 root            V1.2           Core LEAF Bering package
 etc             V1.2           LEAF Bering /etc files
 local           V1.2           LEAF Bering local package
 modules         V1.2           Define & contain your LEAF  Bering modules
 iptables        1.2.8          IP packet filter administration tools for 2.4.
 ppp             2.4.1-pppoe    Point-to-Point Protocol (PPP) daemon
 pppoe           3.3-1          PPPoE add-on for pppd
 pcmcia          3.2.4          PCMCIA Card Services for Linux.
 wireless                       Wireless tools by J. Tourrilhes
 wireutil        25             Wireless tools by J. Tourrilhes
 libm
 shorwall        1.4.2          Shoreline Firewall (Shorewall)
 dhcpd           2.0pl5         DHCP server for automatic IP assignment
 ulogd           1.0            The Netfilter Userspace Logging Daemon
 dnscache        1.05a          A fast & secure proxy DNS server
 weblet          1.2.0          LEAF status via a small web server
 ipsec           1.99.6.2       Super Freeswan IPSEC
 mawk            1.3.3
 libz            1.1.4          zlib compression library. Needed for openssh
 sshd            3.7.1p2 compil OpenSSH sshd daemon.
 sftp            3.7.1p2 compil OpenSSH sftp client & server programs.

J'ai écrit un script appelé "checkip.dat" situé dans /usr/sbin et déclaré dans cron.
Je me suis inspiré du script d'un japonais que m'avait envoyé Jacques Nilo et des conseils éclairés de ce dernier. Il permet de rectifier un petit problème qui survient de temps en temps, lors de la coupure du provider Internet. Le "defaultroute" devient ipsec0 au lieu ppp0, ce qui empêche tout échange avec Internet. Ce script permet "réparer" ce problème en moins d'une minute.

Dans la partie Shorewall, qui a en charge toute la partie "firewall", les "DNAT" sont ceux nécessaires au bon fonctionnement de la plupart des protocoles et logiciels de com pour notre hobby.

Attention : IPSec fonctionne de tous les côtés : Internet, et Wireless !
Donc, si vous faites quelques essais sans être connecté sur votre provider internet préféré, vous aurez un gros problème avec IPSec : ne marchera pas du tout côté wireless, faute de trouver l'interface côté Internet. Il faudra absolument changer les déclarations des interfaces IPSec.

Ah, au fait, vous n'avez pas de mot de passe par défaut (champ vide). Le "root" n'est donc pas protégé et ssh refusera toute connexion depuis putty.exe sur Windows. La première chose est de charger un mot de passe tout de suite. Voyez, pour l'instant, mon Mini How To pour 2 interfaces.

Bonnes bidouilles !