1. 2. 3. 4. 5. 6.

Introduction Prparatifs Installation de Wingate Configuration de Wingate Configuration des applications Conclusions

1. Introduction
Voici donc la partie pratique pour connecter tout un rseau local Internet en utilisant un systme proxy. Je vous conseille trs vivement de lire la partie thorique sur le partage d'une connexion Internet si vous ne savez pas trs bien ce qu'est un serveur proxy. La manire la moins chre de mettre en place un tel serveur est l'installation d'un logiciel idoine sur un ordinateur possdant une carte rseau (pour le LAN) et un modem (pour Internet), ou deux cartes rseaux (une pour le LAN, l'autre pour Internet) dans le cas d'une connexion par cble. Il existe de nombreux logiciels "proxy". Pour le reste de ce chapitre, je vais uniquement parler de Wingate (http://www.wingate.net), logiciel remarquable par son interface graphique accueillante et sa configuration aise. Des internautes m'ont reproch, peut-tre juste titre, de ne parler que de Wingate. Il est clair que je n'ai pas d'actions dans la socit Deerfield qui produit Wingate. Il existe normment de programmes proxy similaires Wingate; choisissez celui qui vous convient la page http://www.winfiles.com/apps/nt/servers-proxy.html. Il me fallait cependant prendre un programme comme exemple pour la suite de cet expos; j'ai choisi Wingate car il s'inscrit comme leader dans ce domaine, et parce que c'est un des premiers programmes que j'ai dcouvert. A vous de faire votre choix selon vos besoins et vos moyens ! Lorsque j'ai crit ce chapitre, Wingate en tait la version 2.1d. Depuis quelques mois, c'est la version 4 qui vous est propose. Cette version que je n'ai pas teste tend rendre le systme proxy plus convivial et transparent qu'il ne l'tait auparavant (compar une solution de type routage NAT); le peu que j'ai compris sur la nouvelle version de Wingate est qu'elle propose dsormais l'installation d'un client sur chaque machine qui "socksifie" (voir plus loin les explication sur le service SOCKS) la majorit des applications et simplifie ainsi leur configuration. Mieux : cette nouvelle version apporte (enfin !) le support NAT. N'ayant point le temps de tester moi-mme cette nouvelles version, je vous renvoie au site de Quaternet pour des dtails techniques. Je tiens quand mme exposer ici l'installation de Wingate dans sa version 2.1d pour permettre au lecteur de comprendre le fonctionnement d'un modle proxy. Si vous recherchez la version 2.1d de Wingate, utilisez FTP Search et faites une recherche sur le

fichier wg21d95.exe (version 9x) ou wg21dnt.exe (version NT) pour pouvoir downloader l'ancienne version. Remarque gnralement valable partout, je ne saurai que trop vous recommander d'aqurir Windows NT pour le serveur proxy; Wingate sous NT est la seule solution stable (dans les systmes Microsoft). En effet, Windows 95/98 n'est pas un bon systme pour les rseaux et vous aurez immanquablement des crashs assez frquents du systme proxy si vous utilisez ce systme d'exploitation.

2. Prparatifs
Avant d'installer Wingate, je suppose que vous tes en ordre avec les points suivants : 1. Vous avez configur correctement votre LAN sous TCP/IP, avec des adresses IP de type 192.168.0.1, 192.168.0.2, etc... (masque de sous-rseau : 255.255.255.0) 2. Une de vos machine peut se connecter Internet : o soit par modem (dial-up); dans ce cas, vous voyez le protocole TCP/IP ddoubl pour chacune des interfaces dans la partie "Rseau" du panneau de configuration : TCP/IP -> Carte NE2000 TCP/IP -> Carte d'accs distant
o

soit par le tlrseau si votre ISP est un cble-oprateur; dans ce cas, vous aurez bien install deux cartes rseaux, l'une travaillant sur le rseau interne (IP = 192.168.0.x, masque de sous-rseau = 255.255.255.0), l'autre travaillant sur Internet (IP et masque donns par votre ISP). L aussi, le protocole TCP/IP est logiquement ddoubl pour chacune des interfaces : TCP/IP -> Carte NE2000 TCP/IP -> Carte NE2000

Quelques remarques s'imposent ce niveau :

Pour des raisons de commodits, attribuez l'IP 192.168.0.1 l'ordinateur qui servira de proxy. Si vous possdez un cble-oprateur, vous aurez indiqu dans les proprits de la carte rseau connecte Internet les adresses IP des serveurs DNS :

Vous constaterez que ces donnes sur le DNS sont reprises sur la carte tournant sur le rseau interne (192.168.0.1) : en effet, Windows n'attribue pas spcifiquement des valeurs DNS une interface particulire.

Pour une connexion par modem, les serveurs DNS de votre ISP sont configurs dans votre connexion dial-up (dossier 'Accs rseau distance'). Exprience faite, Windows 95 supporte parfaitement l'installation de deux cartes rseaux (si vous avez un cble-oprateur et que vous voulez faire tourner Wingate sous Windows 95). Cependant, il se peut, si les cartes rseaux sont configures en mode PnP, que Windows ne dtecte les bons paramtres (I/O et IRQ) que pour une seule des deux cartes. Le mieux faire dans ce cas est de configurer les deux cartes en mode 'jumperless' (grce l'utilitaire DOS livr avec vos cartes) et leur attribuer chacune un port I/O et un IRQ de votre choix, que vous "forcerez" ensuite dans Windows 95.

3. Installation de Wingate
Note pralable : Wingate est un shareware. Dans sa version non registre, il vous permet de configurer plusieurs utilisateurs, mais un seul utilisateur peut "traverser" la fois le proxy. Si vous ne voulez donc connecter que deux ordinateurs Internet en mme temps, cette option est suffisante puisque l'ordinateur qui fait tourner Wingate peut se connecter directement Internet (sans passer par

le systme proxy); seul l'autre ordinateur traversera Wingate. Si plus d'ordinateurs doivent pouvoir traverser simultanment le proxy, vous devrez donc payer en consquence (le prix de Wingate varie selon le nombre de connexions simultanes dont vous voulez bnficier). L'installation de Wingate ne pose pas de problme particulier. Configurez tous les services que le programme vous propose. Le logiciel vous demande un moment votre SMTP, c'est dire le serveur de votre ISP qui accepte vos e-mails sortants (souvent une adresse de type mail.isp.com), ainsi que le serveur de news que vous voulez utiliser (vous pouvez prendre par exemple celui de votre ISP (news.isp.com), mais ce n'est pas une obligation). Laissez le champ blanc pour le serveur IRC. N'installez pas le systme DHCP, sauf si vous en avez rellement besoin (adresses IP limites) et que vous connaissez bien ce genre de services.

4. Configuration de Wingate
Wingate tourne, que ce soit sous 9x ou sous NT, comme un service, c'est dire que vous ne verrez pas de programme ouvert vous signifiant que Wingate est actif. Wingate se contrle l'aide du 'Gatekeeper'. Je vous donne un bref aperu des possibilits de ce module :

A la premire utilisation du Gatekeeper, vous tes nomm "Administrator"; n'entrez aucun mot de passe pour l'instant. Le programme vous demandera d'en mettre un juste aprs. Le Gatekeeper se prsente sur deux fentres : sur la gauche, vous voyez en temps rel tous les utilisateurs qui sont en train de "traverser" le serveur proxy. Sur la droite, vous configurez les utilisateurs et les services.

Je vous laisse dcouvrir par vous-mme les possibilits de configuration offertes par ce programme. Voici cependant quelques conseils :

Pour la configuration des utilisateurs, vous pouvez o soit rendre actif le compte 'guest' (invit). Ainsi tous les ordinateurs du LAN sans distinction pourront se connecter Wingate, mais vous ne pourrez pas savoir qui (tout le monde aura la dnomination 'guest') o soit dfinir les utilisateurs qui ont le droit d'utiliser le proxy. Pour cela, cliquer avec le bouton droit sur l'icne 'Users', faites New->User et introduisez les caractristiques du nouvel utilisateur. Par dfaut, ce dernier est plac dans le groupe 'Utilisateurs'.

Ensuite prcisez Wingate comment l'identifier via son adresse IP. Utilisez pour cela l'icne 'Assumed Users'.

Pour chaque service, n'autorisez, pour des raisons de scurit, la connexion Wingate que depuis le rseau interne (empchez les accs externes; des petits malins peuvent causer beaucoup de tort).

Le systme de cache de Wingate (analogue au cache de votre browser web) est assez performant et vous permet de gagner du temps lorsque vous surfez. Si vous utilisez cependant une vieille bcane pour le proxy (par ex. un vieux DX2-66 MHz ou moins), ne dpassez pas 20 Mo de cache, car les disques durs de l'poque ont de la peine se sortir des milliers de fichiers que Wingate peut produire. J'ai remarqu sur mon serveur que la limite de Mo n'tait pas toujours respecte (mon cache tait gonfl 61 Mo alors que j'avais fix une limite 15 Mo !). J'ai donc personnellement dsactiv ce service. A titre indicatif, l'efficacit du cache tait d'environ 5% sur mon LAN (avec 5 utilisateurs); il faut donc beaucoup plus d'utilisateurs pour que ce service soit rentable.

Si votre ISP vous a donn les coordonnes de son propre serveur proxy, sachez que Wingate peut l'utiliser; les utilisateurs du LAN passeront donc par un double proxy (Wingate et le cache de votre ISP). Allez pour cela dans le service WWW, onglet 'Connection', cochez 'Through cascaded proxy server' et indiquez l'emplacement et le port (souvent 8080) du proxy de votre ISP.

Notez bien que certaines applications n'aiment pas ce systme de double proxy. Par exemple, les premires versions de l'installation

active de l'Explorer 4 exigeait la dsactivation temporaire de ce service.

Dsactivez, si vous n'en avez pas besoin, les systmes de logs des services qui viennent vite polluer votre disque dur.

5. Configuration des applications

En-dehors du serveur proxy, dont les applications n'ont pas besoin d'utiliser le systme proxy puisqu'elles sont directement connectes Internet, toutes les applications des ordinateurs du rseau interne doivent tre configures spcifiquement pour traverser le proxy. Je vous donne ci-aprs un aperu des applications courantes dont les services sont configurs automatiquement dans Wingate lorsque vous l'installez. Je suppose dans ces exemples que le serveur proxy d'IP 192.168.0.1 s'appelle "wingate" (indiqu dans le fichier host). Notez bien que toutes ces considrations ne concernent que l'utilisation de la "vieille" version de Wingate. Il semblerait que la version 3 de Wingate installe un client sur chaque poste pour s'viter ces installations difficiles; la configuration des applications devrait ainsi tre transparente et ne pas soucier de la prsence d'un serveur proxy.

Le systme de dsignation de noms (DNS)

Ce service n'est pas une application proprement parler, mais c'est lui qui permet de rsoudre vos URL.

Sur le serveur proxy, vous avez dj configur le DNS vers votre ISP Par contre, les ordinateurs du rseau interne ne peuvent atteindre le(s) serveur(s) DNS de votre ISP, car Wingate n'est pas un routeur. Fort heureusement, Wingate propose son propre service DNS (vrifiez qu'il est bien prsent dans les services). Pour les ordinateurs du LAN, vous indiquerez donc l'emplacement du serveur proxy comme serveur DNS (panneau de configuration-Rseau-onglet DNS)

Les browsers web (Internet Explorer, Netscape Navigator, etc...)

Pour Internet Explorer, allez dans le panneau de configuration-Internet, puis sous l'onglet 'connexion', indiquez l'emplacement du proxy et le port d'coute (80 par dfaut); cochez ventuellement la case 'ne pas utiliser de serveur proxy pour les adresses locales' si vous faites tourner un serveur web sur votre LAN.

Dans Netscape Navigator 4.x, allez sous Edition-Prfrences-Avances-Proxy, et cochez 'configuration manuelle du proxy', puis appuyez sur le bouton 'Afficher', et indiquez l'emplacement du proxy pour HTTP et FTP; laissez le reste blanc.

Les clients FTP (il y en a tellement...)

Vous trouverez le plus souvent un onglet ou boite de dialogue pour une configuration via un serveur proxy. Comme pour les clients web, indiquez simplement l'emplacement du proxy et le port (21 par dfaut). Comme type de connexion, utilisez 'USER user@site' sous CuteFTP, ou 'user w/out login' sur d'autres programmes.

Retenez cependant ceci : avec un client FTP utilisant le service FTP de Wingate, vous ne pourrez vous connecter qu' des serveurs FTP travaillant en port 21. Si vous aviez l'habitude de vous connecter des serveurs FTP travaillant sur des ports "exotiques" (comme 8021, 666, etc...), vous devrez utiliser un client FTP se connectant par le service SOCKS (voir plus loin).

Les clients de courrier lectronique (Outlook Express, Eudora, etc...)

Quelques subtilits dans cette section : 1. Tout d'abord pour le mail sortant (SMTP) : Configurez simplement pour le SMTP l'emplacement du serveur proxy. Dans Wingate, vous aurez pralablement configur le "mapping" SMTP vers le serveur SMTP de votre ISP (souvent mail.isp.com). Ainsi tous les gens du LAN qui envoient des mails le font sur le proxy qui redirige le tout vers le SMTP de votre ISP. Wingate vous permet cependant de personnaliser le mapping SMTP selon l'utilisateur qui met le mail.

2. Le plus "difficile", le mail entrant (POP3) : Configurez l'emplacement du proxy comme serveur POP3 de votre client e-mail. Par contre, votre username change, et devient : username#votre_serveur_pop3 Ainsi, si avant d'tre derrire un firewall vous vous connectiez votre serveur POP3 en utilisant le username = sdupont et le serveur POP3 = mail.wanadoo.fr, derrire le firewall votre nouveau serveur POP3 devient le proxy et votre nouveau username sdupont#mail.wanadoo.fr. Dans un logiciel comme Eudora qui groupe le username et le serveur POP3 en un "pop-account", votre nouveau "pop-account" serait donc : sdupont#mail.wanadoo.fr@wingate En rsum, pour des clients e-mail derrire un firewall,
POP3 et SMTP = emplacement du proxy username = username#votre_serveur_pop3 password = identique

Les clients News

Le proxy devient le nouveau serveur de news pour les ordinateurs du LAN (port 119 par dfaut). C'est dans Wingate que vous aurez configur le mapping NNTP par dfaut (par exemple vers news.isp.com).

Le service SOCKS
SOCKS (4 et 5) est une petite rvolution dans le systme proxy, dans le sens o les applications qui savent utiliser ce service peuvent se croire directement connectes Internet. SOCKS5 a la possibilit d'ouvrir dynamiquement de nouveaux ports sur le serveur proxy, et je vois dans cette possibilit la solution pour faire tourner prochainement des applications comme Netmeeting derrire un firewall. J'attends impatiemment que les nouvelles routines DirectPlay sachent se servir de SOCKS (j'ai entendu dire que la mise jour DirectX 6.1 apporterait ce service). Pour le moment, SOCKS peut tre utilis trs efficacement par certains clients FTP (comme AbsoluteFTP, LeapFTP, ...), ce qui leur permet de se connecter des serveurs tournant sur des ports autres que 21. SOCKS est aussi le meilleur systme pour un logiciel IRC.

Le logiciels IRC (MIRC, PIRCH, VIRC, etc...)

Choisissez un logiciel qui supporte SOCKS, et configurez l'onglet idoine pour se connecter sur le serveur proxy en port 1080. NB : les vieilles versions de MIRC ne connaissent pas SOCKS et c'est un cauchemar que de pouvoir leur faire traverser le firewall; tlchargez une version rcente pour viter la crise de nerfs.

ICQ
Il aurait t criminel qu'un logiciel aussi fantastique qu'ICQ ne puisse pas traverser un firewall. Heureusement, ce programme s'en sort magnifiquement avec une remarquable utilisation du service SOCKS5.

Telnet
Les gens utilisant Telnet utiliseront simplement une connexion initiale dirige vers le serveur proxy.

Il obtiendront ainsi un prompt "Wingate>" o ils taperont l'adresse Telnet laquelle ils veulent se connecter.

Real Audio
Real Audio traverse sans problme le firewall. Configurez l'onglet adquat vers le serveur proxy en port 1090. Voil, il existe encore d'autres applications qui, moyennant quelques petits rglages, peuvent traverser le serveur proxy. Retenez donc ceci : pour chaque application qui veut traverser le firewall vous devez avoir configur un service adquat sur le proxy. Par exemple, vous pouvez configurer un service qui permet l'utilisation de synchronisateurs d'horloge PC (sur des serveurs-horloges d'Internet), en ajoutant dans Wingate un service TCP sur le port 37 mappant sur l'adresse du serveur-horloge d'Internet.

Quant l'application elle-mme, vous la configurerez pour se connecter sur le serveur proxy en mode TCP.

6. Conclusions
Ouff ! Vous voil enfin au terme de ce chapitre. Au risque de me rpter, je vous rappelle ces deux choses essentielles :

1. Le serveur proxy (firewall) a des limitations : vous ne pourrez faire tout ce que vous faites avec une connexion directe. De nombreuses applications sophistiques travaillent sur plusieurs ports en mme temps, dont certains sont ouverts dynamiquement. C'est le cas de Netmeeting qui travaille sur 5 ports dont 3 dynamiques; un tel logiciel ne peut donc pas traverser Wingate. Mme remarque pour les jeux se connectant sur des gaming-zones sur Internet; seul le logiciel Kali (http://www.kali.net) leur permettra de jouer travers le proxy avec leurs amis sur Internet. Cette remarque pourrait tendre disparatre peu peu lorsque toutes les applications seront capables d'utiliser SOCKS. 2. Toutes les applications tournant sur le rseau interne doivent tre configures de sorte traverser le serveur proxy. Cette remarque ne concerne pas les applications installes sur le serveur proxy lui-mme qui peuvent accder directement Internet. Cette remarque ne s'applique probablement plus si vous utilisez la version 3 de Wingate.