Passerelle Internet
Comment partager une connexion Internet avec le reste des locaux, ou comment faire un boitier routeur manuellement.
On étudie ici la configuration à partir d'une Debian Etch.
Configuration IP de la passerelle
Nommage des cartes réseau
Pour s'y retrouver facilement, on peut renommer eth0, eth1, etc. avec des noms plus explicite.
Le paquet ifrename peut être utilisé dans ce but. Exemple de configuration dans /etc/iftab:
eth-net mac 00:0C:57:85:FE:45 eth-office mac 00:19:71:54:AB:83
Le changement est pris en compte au redémarrage, ou en tapant ifrename avec les interfaces concernées down (iptables eth0 down).
TODO: il y a des fois des conflits avec udev sous Etch?
Configuration des cartes réseau
La configuration est centralisée, sous Debian, dans /etc/network/interfaces.
Exemple pour le réseau local:
auto eth-office iface eth-office inet static address 192.168.1.1 netmask 255.255.255.0
Pour le réseau interne, cela dépend du type de connexion (PPPoE, DHCP sur le routeur, etc.)
Routage IP
Pour toute la suite, récupérer basic-firewall.txt, du projet debmaintenance.
Utilisez ce fichier pour amorcer la configuration du pare-feu. N'hésitez pas à vous reporter à man iptables pour mieux comprendre les options utilisées.
Reportez-vous ensuite à sa partie "Shared Internet access", détaillée ci-après:
IP forwarding
La passerelle doit transmettre les paquets qu'elle reçoit du réseau local vers l'Internet.
Facile, c'est le noyau Linux qui s'en occupe. Cela se configure via /etc/sysctl.conf:
net.ipv4.conf.default.forwarding=1
Pour prendre en compte les paramètres:
sysctl -p /etc/sysctl.conf
Pour vérifier:
sysctl -a | grep default.forwarding
Note: précedemment configuré dans /etc/network/options - à migrer si c'est le cas sur une ancienne machine (cf. /usr/share/doc/netbase/README.Debian).
IP masquerading
Un serveur Internet ne saura pas où envoyer une réponse à 192.168.1.10, par exemple. Du coup, il faut modifier l'adresse IP source des paquets, et la remplacer l'adresse IP publique de la passerelle.
Cette technique s'appelle le masquerading, et fait partie du concept plus général du NAT (network address translation). Cela se fait au niveau du pare-feu, iptables.
Cf. basic-firewall.txt
iptables -t nat -A POSTROUTING -o eth-inet -j MASQUERADE
Modules noyau
Le masquerading est très utilisé mais ne respecte pas le protocole IP. Il peut occasionner des soucis, par exemple pour le protocole FTP qui utilise deux connexions simultanées (contrôle et données).
Rajouter dans /etc/modules:
ip_conntrack_ftp ip_nat_ftp
Note: Je n'ai pas eu besoin d'installer les modules pour IRC, ce n'est peut-être nécessaire que pour le DCC.
MTU
Il y a également des problèmes de taille de paquets trop gros. Sans entrer dans les détails, il s'agit du problème du MTU (maximum transfert unit).
Rajouter la ligne correspondante dans le pare-feu.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth-inet --clamp-mss-to-pmtu
Droits
On ne fait du routage que pour le réseau interne. Pas question de router des paquets pour les extérieurs. Les paquets transmis, avant d'êtres NATés, passent par la règle FORWARD d'iptables:
iptables -A FORWARD -i eth-office -j ACCEPT iptables -A FORWARD -i eth-inet -o eth-office -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -j REJECT
Serveur DHCP
DHCP permet d'attribuer des adresses locales aux postes connectés au réseau, avec configuration automatique de l'adresse du routeur et des serveurs DNS.
Configuration minimale, /etc/dhcp3/dhcpd.conf:
ddns-update-style none;
log-facility local7;
authoritative;
option domain-name "masociete.local";
option domain-name-servers 192.168.1.1;
#option domain-name-servers ns1.example.org, ns2.example.org;
subnet 192.168.1.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
# Adresses dynamiques
range 192.168.1.101 192.168.1.150;
# Adresses statiques
host hplj4200n { hardware ethernet 00:01:E6:84:7F:34; fixed-address 192.168.1.21; }
host miroir { hardware ethernet 00:11:11:90:DF:37; fixed-address 192.168.1.50; }
}
Notez ensuite le nom de l'interface réseau locale dans /etc/default/dhcp3-server:
INTERFACES="eth-office"
Penser à ouvrir les ports dans le pare-feu pour DHCP (cf. basic-firewall.txt).
Serveur DNS
Il ne manque plus que la résolution de nom, pour lier par exemple www.cliss21.com à 87.98.154.26.
On va ici utiliser bind (paquet bind9). Configuration dans /etc/bind
Sous Debian, on ne touche qu'à named.conf.options et named.conf.local, named.conf</conf> étant géré par le paquet, sauf configuration non triviale.
Restriction d'accès au réseau local, dans named.conf.options:
allow-query { 192.168.1.0/24; localhost; };
allow-recursion { 192.168.1.0/24; localhost; };
allow-transfer { 192.168.1.0/24; localhost; };
Définition de la zone locale, et de son reverse, dans named.conf.local:
zone "masociete.local" {
type master;
notify no;
file "/etc/bind/master/masociete.local";
};
zone "1.168.192.in-addr.arpa" {
type master;
notify no;
file "/etc/bind/master/192.168.1";
};
On a ici un serveur DNS autonome, sans besoin de passer par les DNS du fournisseur d'accès (pour les curieux, voir /etc/bind/db.root). Si vous êtes dépendant des DNS du FAI (ex: pour récupérer la bonne IP de smtp.wanadoo.fr), passez en mode délégation dans named.conf.options:
forwarders { 80.10.246.130; 80.10.246.3; };
(Note: alternativement on peut rajouter une zone dans named.conf.local juste pour cette adresse:)
// The public smtp.w.f is not a relay,
// you need to ask Wanadoo's DNS for the real IPs:
zone "smtp.wanadoo.fr" {
type forward;
forward only; // don't ask anybody else
forwarders { 80.10.246.130; 80.10.246.3; };
};
Squelettes de zones, dans /etc/bind/master:
# /etc/bind/master/masociete.local
$TTL 86400
@ IN SOA passerelle.masociete.local. hostmaster.passerelle.masociete.local. (
2007041601 ; serial (année+mois+jour+compteur)
21600 ; refresh after 6 hours
3600 ; retry after 1 hour
604800 ; expire after 1 week
86400 ; minimum negative cache TTL of 1 day
)
NS passerelle.
passerelle A 192.168.1.1
hplj4200n A 192.168.1.21
miroir A 192.168.1.50
alias CNAME miroir
# /etc/bind/master/192.168.1 - reverse
$TTL 604800
@ IN SOA passerelle.masociete.local. hostmaster.passerelle.masociete.local. (
2007041601 ; Serial (année+mois+jour+compteur)
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ NS passerelle.masociete.local.
; Don't forget the trailing '.'
1 PTR passerelle.masociete.local.
21 PTR hplj4200n.masociete.local.
50 PTR miroir.masociete.local.
Avec ces fichiers, vous devriez avoir un serveur DNS fonctionnel.
Pour tester:
host passerelle.masociete.local 192.168.1.1
dig passerelle.masociete.local @192.168.1.1
host 192.168.1.50 192.168.1.1
dig -x 192.168.1.50 @192.168.1.1
Penser à ouvrir le port 53 udp+tcp (cf. basic-firewall.txt).
Alternative: Dnsmasq
Le paquet dnsmasq fournit en même temps DHCP et DNS. Il relaie les requêtes DNS en utilisant le /etc/resolv.conf local. Je crois qu'il utilise également /etc/hosts pour configurer les adresses locales.
La configuration réseau et le partage de connexion reste à votre charge.
Il suffit dans la plupart des cas, mais peut s'avérer plus limité qu'une configuration avec dhcp3-server et bind. La configuration bind en particulier est nettement plus difficile et redondante, mais c'est un savoir réutilisable pour configurer un "vrai" DNS sur Internet.
Configuration minimale /etc/dnsmasq.conf:
dhcp-range=192.168.1.101,192.168.1.150,12h