Segment 1 - Mercredi après-midi (Indus)

Ce sujet représente le travail de AIR fournit par Nathalie Dewez et Quentin Gasper

Pour commencer, nous avons installé Slackware 12.0 sur les clients et la gateway. L'installation s'est faite via le réseau, en démarrant la machine sur une disquette puis en montant le "dépôt" depuis un partage NFS sur 172.16.0.140.
Ensuite, il a fallu configurer les machines. Voici un petit schéma qui vaut mieux qu'un long discours :

1. Câblage du réseau
   
   
   
   1. DMZ -> GW
      
   2. Réseau externe -> GW
      
   3. Switch -> GW
      
   4. Clients -> Switch
      
   
   
   
2. configuration des IP et routes (laborieux)
   
   
   
   1. GW
      
      
      
      1. eth0 -> extérieur
         
      2. eth1 -> dmz
         
      3. eth2 -> switch
         
      
      
   2. dans /etc/rc.d/rc.init1.conf (pour avoir les adresses IP par défaut, au démarrage) :
      
      
      
      1. DMZ : 172.16.11.112
         
      2. client1 : 172.16.21.111
         
      3. client2 : 172.16.21.112
         
      4. GW(externe) : 172.16.0.201
         
      5. GW(DMZ) : 172.16.11.1
         
      6. GW(clients) : 172.16.21.1
         
      
      
   3. routes :
      

      Code:

      
# route add default gw 172.16.0.4 (sur la gw)
# route add default gw <ip_de_la_gw> (sur les autres machines)


   
   
   
3. configuration DNS
   Nous avons définit la zone segment1.labo604.esi.heb.be. La GW est le serveur DNS de cette zone. Les noms attribués aux machines.
   
   
   
   1. GW = srv
      
   2. DWZ = dmz
      
   3. client1 = notreclient
      
   4. client2 = darkstar
      
   5. configuration sur toutes les machines dans /etc/resolv.conf (l'ip de la GW varie selon les machines) :
      

      Code:

      
 domain segment1.labo604.esi.heb.be
 nameserver <ip_de_la_gw>


      domain : indique le nom de domaine par défaut (celui ajouté si l'on n'en fournit pas lors de la requête de résolution de nom)
      nameserver : indique l'adresse ip d'un serveur DNS à contacter
      
   6. test de la config :
      

      Code:

      
# dig @srv dmz (ça fonctionne, c'est magique ;))


   
   
   
4. configuration de iptables. Implémentation choisie :
   
   
   
   1. dmz et clients peuvent communiquer entre eux
      
   2. clients sur Internet, pas dmz
      
   3. regles : nous avons fait un script :
      
      
      
      1. lancement sans argument : destruction des anciennes regles et création des nouvelles
         
      2. option -a : destruction des anciennes règles (tout à "accept")
         
      3. option -c : appliquer les nouvelles règles
         
      
      
   4. le script qui va bien :
      
   
   
   

   Code:

   
#!/bin/sh

#
# ANNULATION
#
if [ "$1" == "-a" ] || [ "$1" == "" ]
then
 echo "Annulation..."

 iptables -F
 iptables -P INPUT ACCEPT
 iptables -P OUTPUT ACCEPT
 iptables -P FORWARD ACCEPT
fi


#
# CONFIGURATION
#

if [ "$1" == "-c" ] || [ "$1" == "" ]
then
 echo "Configuration..."

# on rejette tout
 iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD DROP

# DMZ -> clients
 iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT

# clients -> DMZ
 iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT

## clients <--> GW
# on accepte les clients sur le port 53 en udp
 iptables -A INPUT -i eth2 -p udp --dport 53  -j ACCEPT
# on peut lui répondre si la connection a été établie (ETABLISHED)
 iptables -A OUTPUT -o eth2 -m state --state ESTABLISHED -p udp -j ACCEPT

## GW <--> Belenos (DNS)
# on envoie la requête de résolution sur Internet via le port 53
 iptables -A OUTPUT -o eth0 -p udp --dport 53  -j ACCEPT
# on accepte tout ce qui rentre d'Internet (DNS) si la connection a été établie
 iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p udp -j ACCEPT

## GW <--> Belenos (HTTP)
# On envoie les requêtes HTTP sur le port 80
 iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
# on accepte tout ce qui rentre d'Internet (HTTP) si la connection a été établie
 iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp -j ACCEPT

## clients <--> Internet (forward)
 iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
 iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED -j ACCEPT
fi


   
   

avis du moment ...

config du serveur dns ...
choix des dns ...
pas de NAT ?

mvh a écrit:avis du moment ...

config du serveur dns ...
choix des dns ...
pas de NAT ?

bien reçu...quelques questions cependant :

la configuration DNS se trouve au point c

que voulez-vous dire par "choix des dns" ? Les noms ne vous conviennent-ils pas ? Il y avait-il une convention à utiliser ?

effectivement nous n'avons pas fait de NAT...