Après notre petit congé, nous allons enfin commencé à paramétrer noter pont filtrant.
07/11/2007Alors voilà, nous avons commencé le laboratoire en discutant un peu sur la présentation du vendredi avec le bon marcelvh. Ensuite, nous nous sommes transformés en techniciens de surface pour arranger un peu nos tables. Tout appareil ou tout câble inutile a été déplacé.
Maintenant que tout est propre sur notre table, on a décidé de prendre deux câbles Ethernet croisés de couleur différente pour pouvoir distinguer nos interfaces du pont plus facilement.
On a donc ceci :
* eth0 = câble Ethernet croisé gris foncé.
* eth1 = câble Ethernet croisé blanc.
Au fait, notre bridge s'appelle
bridge7.
- Code:
vi /etc/HOSTNAME
Le but d'un pont est de relier deux réseaux distincts sans modifier le routage, il sera tout simplement transparent. Toute cette manipulation permet de mettre en place un pare-feu sans changer la configuration actuelle du réseau. Si nous ne disposons pas d'un répétiteur, le pont nous permet de faire la même chose qu'un répétiteur.
Au départ, nous étions partis dans une mauvaise optique en ajoutant manuellement des routes aux pcs. Mais là, on s'est vite rendu compte que notre bridge devenait plutôt un routeur.
Les seules routes que nous avons laissées sont les suivantes :
... sur notre passerelle nommée Davio.
- Code:
route add -net 172.16.37.0 netmask 255.255.255.0 dev eth1
... sur notre zone démilitarisée Daviodmz.
- Code:
route add -net 172.16.17.0 netmask 255.255.255.0 dev eth0
Sachez tout de même que l'adresse IP de
Daviodmz :
172.16.37.5N'oublions pas que nos interfaces physiques ne peuvent pas être configurées.
Editons...
- Code:
vi /etc/rc.d/rc.inet1.conf
Après l'installation de Slackware, voici les manipulations suivantes sur le pont filtrant :
- Nous avons écrit un petit script shell nommé ip_tables (disponible dans le répertoire
/root) où nous trouvons les instructions suivantes :
- Code:
echo 1 > /proc/sys/net/ipv4/ip_forward
... pour activer le
forwarding.
- Code:
iptables -F
... pour vider la table filter.
- Code:
iptables -t nat -F
... pour vider la table nat.
- Code:
brctl addbr bridge0
... on ajoute une nouvelle interface nommée
bridge0.
- Code:
brctl stp bridge0 off
... on éteint le protocole
Spanning Tree pour diminuer le trafic réseau.
- Code:
brctl addif bridge0 eth0
brctl addif bridge0 eth1
... on associe nos interfaces physiques à notre pont.
- Code:
ifconfig eth0 up
ifconfig eth1 up
ifconfig bridge0 up
... on active nos interfaces pour que la communication puisse débuter.
Voilà c'est tout, notre pont est fonctionnel.
Ensuite, nous voulions faire un peu de
monitoring pour analyser un peu le trafic entre notre Gateway et notre DMZ.
On a utilisé l'utilitaire
iptraf qui fait la même chose que
tcpdump, mais dans un environnement beaucoup plus convivial (genre
Ethereal).
Mais il y a aussi un autre utilitaire puissant que nous ne pourrons pas installer :
ntop qui offre une analyse du trafic réseau via une interface Web.
- Code:
brctl show
... affiche notre interface "pont".
Nous avons discuté ensuite avec le bon marcelvh pour définir notre objectif de notre pont filtrant et nous sommes tombés d'accord sur la
QoS. On fera certains tests sur le débit, etc.
Notre schéma physique :