Introduction
Pour pouvoir imaginer faire un relais sur mon serveur (je parlerais de serveur quand je parle de ma station ubuntu car c’est ça son rôle) il faut mettre en place plusieurs choses :
- configurer l’interface wifi du serveur
- créer un serveur DHCP sur le serveur de manière à pouvoir se connecter sur cette interface automatiquement (en obtenant une IP)
- créer un serveur DNS sur le serveur de manière à pouvoir répondre aux résolutions de noms
- créer un NAT sur le réseau wifi de manière à ce qu’il puisse se connecter au réseau extérieur
Une fois que ces choses là seront faites ça devrais fonctionner.
Configurer l’interface wifi du serveur
Alors y et allons sur le serveur.Pour commencer il est nécessaire de désinstaller le « network-manager » sinon vous allez avoir tous les problèmes du monde. En effet, ce network manager vous empêchera de configurer votre réseau comme vous le souhaitez et voudra chaque fois reconfigurer les fichiers systèmes à sa manière. Evitez dans la mesure du possible de passer par les menus d’administration graphique qui ne sont pas assez complets pour avoir les mains libres. Ces menus ont tendance à modifier les fichiers trop facilement et tous vos efforts s’avèreraient vains.
Commencez donc par
[bash] sudo apt-get remove network-manager
Faites ensuite un petit backup de votre fichier de configuration réseau au cas où :
[bash] sudo cp /etc/network/interfaces /etc/network/interfaces.back
Avant de mettre les mains à la pâte je tiens à préciser que ma configuration est la suivante :
- eth0 : l’interface qui se connecte vers internet
- ra0 : l’interface wifi sur laquelle je veux connecter un « sous-réseau »
Ma carte réseau wifi est la suivante :
[bash] $ lspci |grep 'Network controller' 0000:02:09.0 Network controller: RaLink Ralink RT2500 802.11 Cardbus Reference Card (rev 01)
Allez maintenant configurer votre connection internet. Allez dans le fichier /etc/network/interface :
[bash]
# l interface loopback doit rester ainsi, inutile de la modifier
auto lo
iface lo inet loopback
# Primary network interface : dans mon cas eth0 (interface vers internet)
# cette interface sera demarree par le script iptables
# donc elle est exempte de la ligne"auto"
iface eth0 inet dhcp
# Second network interface : dans mon cas ra0
# interface de relais qui se connectera au portable wifi
iface ra0 inet static
address 192.168.157.1
network 192.168.157.0
netmask 255.255.255.0
broadcast 192.168.157.255
pre-up ifconfig ra0 up
pre-up ifconfig ra0 down
pre-up ifconfig ra0 up
pre-up ifconfig ra0 down
pre-up iwconfig ra0 essid "TUX-wifi"
pre-up iwconfig ra0 mode ad-hoc
pre-up ifconfig ra0 up
auto ra0
Comme vous voyez, les lignes de paramètrage pour mon interface ra0 sont un peu bizarres, mais je me suis strictement basé sur la configuration proposée dans la documentation ubuntu concernant mon matériel
Autre information importante, je configure ici mon interface ra0 en mode ad-hoc. Nous fonctionneront donc toujours dans le mode ad-hoc dans notre cas.
Créer un serveur DHCP
Alors ici y’a plusieurs possibilités. On peut le faire avec dnsmasq ou avec dhcp3. Je n’y suis pas parvenu avec dnsmasq, donc je parlerais de dhcp3.
Installez d’abord dhcp3 :
[bash] sudo apt-get install dhcp3-server
Configurons maintenant dhcp3-server en modifiant le fichier /etc/dhcp3/dhcpd.conf :
[bash]
# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn t
# have support for DDNS.)
ddns-update-style ad-hoc;
# option definitions common to all supported networks...
option domain-name "tux-master.lan";
option domain-name-servers 192.168.157.1;
log-facility local7;
# Configuration of specific interface
subnet 192.168.157.0 netmask 255.255.255.0 {
range 192.168.157.50 192.168.157.200;
option domain-name-servers 192.168.157.1;
option domain-name "tux-master.lan";
option routers 192.168.157.1;
option broadcast-address 192.168.157.255;
default-lease-time 600;
max-lease-time 7200;
}
C’est bon, on est en bon chemin. Maintenant votre connexion wifi peut accepter des connexions et les parametrer automatiquement en leur fournissant une adresse IP. C’est bien beau me direz vous, mais avec cette IP appartenant à un autre sous-réseau impossible de se connecter sur internet. De plus, impossible de résoudre les noms dans ce sous-domaine car aucun serveur DNS n’est encore configuré.
Pas de panique, ça vient …
Créer un serveur DNS
Cette fois-ci nous avons besoin d’un logiciel qui s’appelle « bind ». Les versions de bind sont nombreuses, mais ici je me base du bind9 :
[bash] sudo apt-get install bind9
Une fois de plus il est question de configuration personalisée. Commencons par configurer le fichier de base /etc/bind/named.conf. Voici les sections importantes que vous devez avoir :
zone "tux-master.lan" {
type master;
file "/etc/bind/db.tux-master.lan";
};
zone "157.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.192.168.157";
};
Un serveur DNS fonctionne par zones. Ici les zones sont définies sur un nom de domaine tux-master.lan arbitrairement choisi par moi et son adresse IP correspondante (c’est bien ça le rôle d’un serveur DNS). Notez bien que pour la zone in-addr.arpa on ne met que les 3 premiers chiffres de l’adresse IP dans leur ordre inverse !!
Nous faisons référence dans ce dernier fichier à deux fichiers : /etc/bind/db.tux-master.lan et /etc/bind/db.192.168.157. Nous allons donc créer ces deux fichiers de la manière suivante :
/etc/bind/db.tux-master.lan:
$TTL 604800
@ IN SOA ns.tux-master.lan. hostmaster.tux-master.lan. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.tux-master.lan.
@ IN A 127.0.0.1
ns IN A 192.168.157.1
tux-master IN A 192.168.157.1
macbook IN A 192.168.157.200
Ici comme vous pouvez le constater j’associe à un nom de domaine des adresses IP
Dans le fichier suivant nous allons associer à des adresses IP un nom de domaine, Soit la configuration inverse :
$TTL 604800
@ IN SOA ns.tux-master.lan. hostmaster.tux-master.lan. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.tux-master.lan.
1 IN PTR ns.tux-master.lan.
1 IN PTR tux-master.tux-master.lan.
200 IN PTR macbook.tux-master.lan.
Créer un NAT
Nous sommes maintenant arrivé à la dernière étape de notre tutorial, créer un NAT qui devra gérer toutes les connexions du réseau et forwarder les paquets vers l’extérieur ou l’intérieur de notre sous-réseau.
Alors voilà, c’est pas très compliqué. Je me base essentiellement sur le programme iptables :
sudo apt-get install iptables
Normalement vous ne disposez pas encore d’un fichier /etc/init.d/iptables. Il faudra donc le créer. Alors voici un exemple de ce que vous devez mettre dedans (attention de corriger le nom des interfaces réseau que vous avez si c’est nécessaire)
[bash]
#!/bin/sh
start() {
# init du la périphérique internet (ici derriere un modem ADSL ethernet, DHCP client)
/sbin/ifup eth0
# (Effacez les règles en cours)
iptables -F
iptables -t nat -F
# (Configurez les règles par défaut pour s occuper du traffic restant)
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# (Copiez et collez ces exemples...)
LAN=ra0
WAN=eth0
# (Rendez les services accessibles uniquement à nos machines locales)
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
# (Facultatif : autoriser l accès au serveur ssh depuis l extérieur)
iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
# (Éliminez les paquets destinés aux ports privilégiés)
iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
# (Ajoutez les règles pour le NAT)
iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
# (Indiquez au noyau d effectuer le transfert IP)
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
# (Enregistrez les règles ci-dessus pour le prochain démarrage)
# /etc/init.d/iptables save
# rc-update add iptables default
# nano /etc/sysctl.conf
# (Ajoutez ou décommentez les lignes ci-dessous)
# net.ipv4.ip_forward = 1
# net.ipv4.conf.default.rp_filter = 1
# (Si vous avez une adresse internet dynamique, vous désirez probablement
# activer l option suivante :
# net.ipv4.ip_dynaddr = 1 )
}
stop() {
echo 0 >/proc/sys/net/ipv4/ip_forward
ifdown ethO
}
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop && start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esac
exit 0
Rendez le fichier exécutable :
[bash] sudo chmod +x /etc/init.d/iptables
Et maintenant arrangez vous pour que le script soit chargé à chaque démarrage :
[bash] sudo update-rc.d /etc/init.d/iptables defaults
Encore une dernière petite chose doit être configurée. Il s’agit du fichier /etc/sysctl.conf :
net/ipv4/conf/all/rp_filter=1 net/ipv4/ip_dynaddr=1 # Uncomment the next line to enable TCP/IP SYN cookies #net/ipv4/tcp_syncookies=1 # Uncomment the next line to enable packet forwarding for IPv4 net/ipv4/ip_forward=1 # Uncomment the next line to enable packet forwarding for IPv6 #net/ipv6/ip_forward=1
En gros il faut activer le forward des paquets IPV4 (principe du NAT).
Test
Passons à la pratique et voyons si ça marche :
- Rechargez l’interface réseau :
[bash] sudo /etc/init.d/networking restart
- Rechargez l’interface de routage iptables:
[bash] sudo /etc/init.d/iptables restart
- Rechargez votre serveur DHCP :
[bash] sudo /etc/init.d/dhcp3-server restart
- Rechargez votre serveur DNS :
[bash] sudo /etc/init.d/bind9 reload
Essayez de vous connectez à votre réseau local ad-hoc. Normallement ça devrais fonctionner !!
Je l’espère du moins car j’ai décrit ici ma manière de m’y prendre, mais j’espère que je n’ai pas oublié l’un ou l’autre détail qui pourrait poser problème. Donc si vous avez un problème après ce tutorial, n’hésitez pas à poster un commentaire ici, je me ferais un plaisir de vous répondre ASAP (as soon as possible) 😉
Quelques améliorations à apporter
Il faudrait ensuite encore sécuriser ce réseau de plusieurs manières, mais ici je ne m’en occupe pas, je reste très basique. Mais on pourrait :
- protéger la connexion wifi avec une clé
- limiter l’accès à quelques adresses MAC
- limiter les pages accessibles en dehors du réseau local (grâce au script iptables)
- …
Notes de mise à jour pour Ubuntu 9.04
Ce tutoriel a déjà été écrit il y a quelques temps. Merci à L’Ankou pour ses remarques constructives pour remettre à jour ce tutorial :
Pour mettre iptables en démarrage auto, il ne faut pas entrer :
sudo update-rc.d /etc/init.d/iptables defaults
mais :
sudo update-rc.d iptables defaults
Quelques autres sites d’aide
Voici quelques autres sites sur lesquels je me suis basé pour faire ma configuration. Peut-être que ça peut aussi vous être utile :
J’ai longtemps cherché dans toutes les langues et finalement, c’est en Français que je trouve! Comme tu dis, pas facile de trouver de la doc sur le sujet alors merci pour ce blog.
Je viens de le faire avec feisty et ça marche, à part que mon réseau est vu comme s’appelant « default » alors que j’ai choisi un autre nom. Je cherche donc de la doc sur les quelques lignes que tu as rajoutée dans /etc/network/interfaces Où as-tu trouvé le truc avec pre-up iwconfig ra0 mode ad-hoc ?
Quelques remarques:
* c’est /etc/network/interfaces (avec un « s » au bout)
* après l’installation de dhcp3-server, il faut lui dire d’écouter sur la bonne interface: modifier le fichier /etc/default/dhcp3-server et mettre INTERFACES= »ra0″
Salut,
Merci pour tes remarques, pour la première, c’est corrigé. Pour la seconde je vais un peu voir ce qu’il en est chez moi.
Pour ce qui est du pre-up iwconfig ra0 mode ad-hoc je t’avoue que c’est a force de faire des tests que je suis tombé sur cette solution là. Je pense que j’avais peut-être bien vu ça quelque part sur internet, mais sans explication auprès. Donc j’ai essayé et c’est ainsi que ça a fonctionné finalement. Comme quoi 😉
Bonjour,
Je suis amené ici par un post du forum Ubunu-fr.org (Script de partage connexion facile). J’ai attentivement lu les informations que vous proposez et j’ai deux petites questions.
1) Pourquoi faire un « remove » de nm-applet et pas simplement un killall, ou le supprimer des programmes se lancant au démarrage? Cela ne serait-il pas « plus propre »?
2) Pourquoi se mettre en mode Ad-Hoc, pour faire un partage DHCP? Le mode ad-hoc ne permet qu’à un seul PC de se connecter à l’autre. Si vous ne souhaitiez ne partager la connexion que pour un PC, pourquoi ne pas faire un simple transfert de paquets, plutôt qu’un serveur permettant à tous les PC de recevoir une IP, mais de le limiter à un PC par un partage Ad-Hoc? J’aurais besoin de quelques éclaircissements de votre part je pense :D!
En tt cas, félicitations pour ce tutoriel déjà très avancé et bien complet.
Merci!
Daniel V.
Bonjour Vergeylen,
Je ne sais pas si mes réponses te conviendrons, mais essayons quand même 😉
1) Pour ce qui est du remove, c’est au contraire plus « propre » de faire ainsi il me semble. En effet, si au lancement de chaque session tu fais un killall ou si tu supprimer nm-applet dans les programmes lancés au démarrage de manière définitive, ça revient au même de ne plus utiliser ce programme. Dès lors, si tu ne l’utilise plus, il me semble normal de le supprimer complètement. Si tu en a à nouveau besoin dans le futur, rien ne t’empêche de le ré-installer.
Mais au delà de ça il y a un autre problème, c’est que nm-applet modifie automatiquement tes fichiers de configuration de tes intertaces /etc/network/interfaces. Dès lors, dès qu’il sera démarré il risque de tout foutre en l’air dans la configuration quelque peu exotique que tu aura faite. Bref, il est plus prudent de le supprimer complètement.
2) Si j’ai utilisé le mode ad-hoc je t’avoue que c’est pas pur hasard. Il se fait que j’étais tombé sur un tutoriel qui proposait de le faire ainsi. Je l’ai fait, et ça marche. Cependant je ne sais pas si ça marche dans un autre mode … et je n’ai pas essayé car je ne connais pas ces autres modes et j’ai pas cherché plus loin pour savoir si ça fonctionnait. Si toi tu as l’occasion de tester un autre mode, je suis intéressé par la solution car il est évident que l’aboutissement de ce tutoriel serait d’avoir un serveur pour plusieurs PC et non pas un seul. Je n’ai malheureusement pas la possibilité chez moi de faire des tests avec plus d’un seul PC… étant donné que je n’en possède pas. J’espère que cette réponse te conviendra.
Donc en résumé, pour le 1 il me semble indispensable (ou presque) de faire le remove, pour le 2, c’est un coup de bol et si tu as l’occasion de tester d’autres modes, ça m’intéresse et je suis prêt à modifier mon tutoriel pour l’améliorer à ce niveau là avec une explication plus complète.
Dans l’espoir d’avoir pu t’éclaircir un peu
PS: désolé pour le « tu » … mais c’est tellement spontané dans le monde de l’informatique 😉
Hello!
Merci pour ta réponse rapide (le « tu » ne me déranges pas, t’inquiètes! ;)).
C’est vrai que je n’avais pas pensé à cette logique pour nm-applet, juste que si les gens emploient le partage de connexion pour un usage occasionnel, je pensais qu’il serait préférable de ne pas le leur faire supprimer. Mais bon, les deux points de vue se valent, c’est sur!
Pour ce qui est des autres modes, promis, je te préviendrai lorsque j’en saurai plus, je suis en train de travailler dessus.
Bonne continuation!
@+
Daniel V.
Ok cool. Effectivement, moi j’ai fais ce bidouillage il y a maintenant environ 4-5 mois, donc c’est plus tout frais dans ma tête et j’ai plus vraiment la tête à faire des tests avec tel ou tel mode.
Mais je vois sur ton site que tu proposes carrément un script qui configurerait directement un partage de connexion réseau sur ubuntu. C’est fort ça. J’ai pas regardé en détail, mais pour les lecteurs de ce tutorial ça peut être intéressant !!
A+
Salut!
Je vais rajouter un lien vers ta page, tant que mon script n’est pas écrit (les tests me prennent du temps, j’ai besoin de plusieurs PC et tout). Et aussi… en regardant ton site, ne serais-tu pas Belge par hasard? Parce que je le suis aussi! (dans le Brabant-Wallon, Louvain-la-Neuve). J’étudie à l’UCL, en Ingénieur Civil.
@+
Bonne continuation!
Daniel V.
Effectivement je suis belge (Brabant Flamant … mais la Belgique est petite), effectivement je suis aussi étudiant à l’UCL à LLN … et effectivement je suis aussi en ingénieur civil … plus précisément je rentre en INFO23, mais je pars pour 4 mois en erasmus vers la fin du mois de septembre à Hanoï au Vietnam ! 😉
Mais au plaisir de te croiser en salle info ou ailleurs
A+
Greg
Pour info, j’ai récupéré cette config pour faire fonctionner ma VMware en NAT sur ma ath0. Ce qui ne fonctionne pas en natif avec le script d’install de VMware (pas avec les cartes wifi en tout cas !)
Après adaptation à ma config, ça roule à merveille.
C’est propre, c’est pro, j’adore 🙂
Vraiment excellent !!! merci beaucoup
Bonsoir,
Avant tout merci de proposer cette solution, elle est très utile ^^
Cependant, je suis à une étape d’y arriver et ce qu’il me manque c’est la configuration de ma carte wifi (eth1) quie elle est une :
06:00.0 Network controller: Intel Corporation PRO/Wireless 3945ABG Network Connection (rev 02)
J’ai donc apater l’edition du fichier /etc/network/interfaces, mais le serveur DHCP ne veux pas redemarrer :
iface eth1 inet static
address 192.168.157.1
network 192.168.157.0
netmask 255.255.255.0
broadcast 192.168.157.255
pre-up ifconfig eth1 up
pre-up ifconfig eth1 down
pre-up iwconfig eth1 essid « Tux-wifi »
pre-up iwconfig eth1 mode ad-hoc
pre-up ifconfig eth1 up
auto eth1
Si j’enlève la ligne « pre-up ifconfig eth1 up » avant « auto eth1 » cela permet bien le demarrage de DCHP mais je ne trouve pas le reseau « Tux-Wifi » sur le mac book 🙁
Désolé pour la question de débutant :p
Pourriez-vous m’aidez s’il vous/tu plait. Merci beacoup
Ghiles
Essaye peut-être d’abord simplement sans le faire dans le fichier interfaces. Essaye simplement d’établir le contact pour voir si le problème n’est pas plutôt au niveau du serveur DHCP (pour ça t’as besoin du package iwtools) :
$ sudo ifconfig eth1 192.168.157.1 up netmask 255.255.255.0
$ sudo iwconfig eth1 mode ad-hoc essid TUX-wifi channel 11
Ensuite sur ton macbook tu devrais avoir accès au réseau vu que tu viens de le créer.
Et si tu veux tu peux même spécifier l’adresse IP toi même et alors plus besoin de serveur DHCP (préférences système > réseau > airport > TCP/IP > Configurer IPv4 manuellement )
Et tu met une adresse du même genre c’est à dire 192.168.157.X
N’hésite pas à donner des nouvelles
Bonjour
Tout d’abord bravo pour ce tutoriel !
Je suis étudiant en informatique à l’université de la réunion et nous avons travaillé sur un projet similaire.
Ensuite juste pour apporter des éléments de réponses aux questions concernant les différents mode wifi.
Il en existe 3 concrètement:
*Mode managed :Ce mode est utilisé lors de la communication entre une station de base et une station cliente. Dans ce mode la carte wifi est un client.
* Mode ad-hoc :Utilisé lors de la communication entre deux stations sans passer par une station de base.
*Mode master : La machine fonctionne comme une station de base.
Le mode master est donc la meilleur solution pour les besoins de ces travaux, mais encore faut il que la carte wifi soit compatible avec ce mode. Ce qui n’est généralement pas le cas pour des cartes grand publique(style clè usb wifi).
Salut
Et merci, une fois de plus, pour ce magnifico tutoriel !!!!!!!!
Sous ubuntu 9.04, cela semble toujours d’actualité (je vois le réseau depuis mon iphone) même si celui-ci n’arrive pas à accéder au net.
Je précise cependant que pour le NAT, sous Ubuntu 9.04, il ne faut pas écrire :
net/ipv4/conf/all/rp_filter=1mais :
net.ipv4.conf.all.rp_filter=1et pour mettre iptables en démarrage auto, il ne faut pas entrer :
sudo update-rc.d /etc/init.d/iptables defaultsmais :
sudo update-rc.d iptables defaultsVoilà!!
{{Je précise cependant que pour le NAT, sous Ubuntu 9.04, il ne faut pas écrire :
net/ipv4/conf/all/rp_filter=1
mais :
net.ipv4.conf.all.rp_filter=1}}
Ce qui est faux… mais les lignes à décommenter chez moi sont avec des « . »
@+
Donc c’est quoi finalement? Avec des « / » ou avec des « . »??
Merci d’avance
Bien à toi
Finalement, c’est avec des « / » 😉
Ben oui, on peut pas éditer ses messages ici (ou alors j’ai mal vu..)
{{ Merci d’avance
Bien à toi }}
Y a pas de quoi,
bye
Voilà, j’ai corrigé dans l’article la remarque concernant le update-rc.d et ça me semble donc être la seule correction à apporter. Mais faudrait que je teste chez moi.
Salut. Tout d’abord félicitation pour ce tuto que je trouve assez complet!
Je dis juste ‘assez’ car en appliquant bêtement la procedure (je très suis loin d’être un pro quand il s’agit de configurer du Linux), j’ai eu un soucis:
J’ai installé Xubuntu 9.04 sur un petit pc (Geode LX800, 256Mo, compact flash 4Go). Sur un des slots minipci, se trouve une carte wifi Atheros AR5413.
Mon problème: Avant d’effectuer le remove du network-manager, je pouvais aller chercher les packages ‘apt-get…’ sur la toile. Mais surprise en effectuant le remove, il m’a viré toute la config et bien sûr je ne sais plus rien faire…
Une idée ?
Merci
Manque une instruction
sudo vi /etc/default/dhcp3-server
modifier
INTERFACES= » » en INTERFACES= »ra0″
@ 19
En effet, sur ubuntu 9.04, le remove de network-manager fiche en l’air le réseau.
Les commandes pour avoir du réseau :
sudo ifconfig eth0 up
sudo dhclient eth0
Chez moi, c’est le dhcp qui ne démarre pas :
J’ai ça dans le syslog
No subnet declaration for ra0 (0.0.0.0).
Pourtant, j’ai bien ça dans le dhcpcd.conf
subnet 192.168.157.0 netmask 255.255.255.0 {
}
Sinon, le reste a l’air de bien aller
GD