Ce sujet représente le travail de AIR fournit par Nathalie Dewez et Quentin Gasper
2 participants
Segment 1 - Mercredi après-midi (Indus)
gquentin- Nombre de messages : 3
Age : 38
Localisation : Overijse
Activité : Etudiant
Nom Prénom : Gasper Quentin
Date d'inscription : 22/09/2008
- Message n°1
Segment 1 - Mercredi après-midi (Indus)
gquentin- Nombre de messages : 3
Age : 38
Localisation : Overijse
Activité : Etudiant
Nom Prénom : Gasper Quentin
Date d'inscription : 22/09/2008
- Message n°2
Re: Segment 1 - Mercredi après-midi (Indus)
Pour commencer, nous avons installé Slackware 12.0 sur les clients et la gateway. L'installation s'est faite via le réseau, en démarrant la machine sur une disquette puis en montant le "dépôt" depuis un partage NFS sur 172.16.0.140.
Ensuite, il a fallu configurer les machines. Voici un petit schéma qui vaut mieux qu'un long discours :
configuration des IP et routes (laborieux)
GW
eth0 -> extérieur
eth1 -> dmz
eth2 -> switch
dans /etc/rc.d/rc.init1.conf (pour avoir les adresses IP par défaut, au démarrage) :
DMZ : 172.16.11.112
client1 : 172.16.21.111
client2 : 172.16.21.112
GW(externe) : 172.16.0.201
GW(DMZ) : 172.16.11.1
GW(clients) : 172.16.21.1
routes :
configuration DNS
Nous avons définit la zone segment1.labo604.esi.heb.be. La GW est le serveur DNS de cette zone. Les noms attribués aux machines.
GW = srv
DWZ = dmz
client1 = notreclient
client2 = darkstar
configuration sur toutes les machines dans /etc/resolv.conf (l'ip de la GW varie selon les machines) :
nameserver : indique l'adresse ip d'un serveur DNS à contacter
test de la config :
configuration de iptables. Implémentation choisie :
dmz et clients peuvent communiquer entre eux
clients sur Internet, pas dmz
regles : nous avons fait un script :
lancement sans argument : destruction des anciennes regles et création des nouvelles
option -a : destruction des anciennes règles (tout à "accept")
option -c : appliquer les nouvelles règles
le script qui va bien :
Ensuite, il a fallu configurer les machines. Voici un petit schéma qui vaut mieux qu'un long discours :
- Câblage du réseau
- DMZ -> GW
- Réseau externe -> GW
- Switch -> GW
- Clients -> Switch
- Code:
# route add default gw 172.16.0.4 (sur la gw)
# route add default gw <ip_de_la_gw> (sur les autres machines)
Nous avons définit la zone segment1.labo604.esi.heb.be. La GW est le serveur DNS de cette zone. Les noms attribués aux machines.
- Code:
domain segment1.labo604.esi.heb.be
nameserver <ip_de_la_gw>
nameserver : indique l'adresse ip d'un serveur DNS à contacter
- Code:
# dig @srv dmz (ça fonctionne, c'est magique ;))
- Code:
#!/bin/sh
#
# ANNULATION
#
if [ "$1" == "-a" ] || [ "$1" == "" ]
then
echo "Annulation..."
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
fi
#
# CONFIGURATION
#
if [ "$1" == "-c" ] || [ "$1" == "" ]
then
echo "Configuration..."
# on rejette tout
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# DMZ -> clients
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
# clients -> DMZ
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT
## clients <--> GW
# on accepte les clients sur le port 53 en udp
iptables -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT
# on peut lui répondre si la connection a été établie (ETABLISHED)
iptables -A OUTPUT -o eth2 -m state --state ESTABLISHED -p udp -j ACCEPT
## GW <--> Belenos (DNS)
# on envoie la requête de résolution sur Internet via le port 53
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
# on accepte tout ce qui rentre d'Internet (DNS) si la connection a été établie
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p udp -j ACCEPT
## GW <--> Belenos (HTTP)
# On envoie les requêtes HTTP sur le port 80
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
# on accepte tout ce qui rentre d'Internet (HTTP) si la connection a été établie
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp -j ACCEPT
## clients <--> Internet (forward)
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED -j ACCEPT
fi
mvh- Nombre de messages : 567
Date d'inscription : 24/12/2006
- Message n°3
Re: Segment 1 - Mercredi après-midi (Indus)
avis du moment ...
config du serveur dns ...
choix des dns ...
pas de NAT ?
gquentin- Nombre de messages : 3
Age : 38
Localisation : Overijse
Activité : Etudiant
Nom Prénom : Gasper Quentin
Date d'inscription : 22/09/2008
- Message n°4
Re: Segment 1 - Mercredi après-midi (Indus)
mvh a écrit:avis du moment ...
config du serveur dns ...
choix des dns ...
pas de NAT ?
bien reçu...quelques questions cependant :
la configuration DNS se trouve au point c
que voulez-vous dire par "choix des dns" ? Les noms ne vous conviennent-ils pas ? Il y avait-il une convention à utiliser ?
effectivement nous n'avons pas fait de NAT...