Passerelle Internet

De Cliss XXI
Révision datée du 17 mars 2008 à 12:44 par imported>SylvainBeucler (→‎IP forwarding)
Sauter à la navigation Sauter à la recherche

Comment partager une connexion Internet avec le reste des locaux, ou comment faire un boitier routeur manuellement.

On étudie ici la configuration à partir d'une Debian Etch.


Configuration IP de la passerelle

Nommage des cartes réseau

Pour s'y retrouver facilement, on peut renommer eth0, eth1, etc. avec des noms plus explicite.

Le paquet ifrename peut être utilisé dans ce but. Exemple de configuration dans /etc/iftab:

eth-inet       mac 00:0C:57:85:FE:45
eth-local      mac 00:19:71:54:AB:83

Le changement est pris en compte au redémarrage, ou en tapant ifrename avec les interfaces concernées down (iptables eth0 down).

Alternative: utiliser udev. Sous Debian GNU/Linux Etch, modifier les NAME dans /etc/udev/rules.d/z25_persistent-net.rules:

SUBSYSTEM=="net", DRIVERS=="?*", ATTRS{address}=="00:0e:3e:ce:27:d3", NAME="eth-admin"

Attention: ifrename et udev ne doivent pas être utilisés en même temps [1].

Configuration des cartes réseau

La configuration est centralisée, sous Debian, dans /etc/network/interfaces.

Exemple pour le réseau local:

auto eth-local
iface eth-local inet static
  address 192.168.1.1
  netmask 255.255.255.0

Pour le réseau interne, cela dépend du type de connexion (PPPoE, DHCP sur le routeur, etc.)

Routage IP

Pour toute la suite, récupérer basic-firewall.txt, du projet debmaintenance.

Utilisez ce fichier pour amorcer la configuration du pare-feu. N'hésitez pas à vous reporter à man iptables pour mieux comprendre les options utilisées. Voir aussi Pare-feu.

Reportez-vous ensuite à sa partie "Shared Internet access", détaillée ci-après:

IP forwarding

La passerelle doit transmettre les paquets qu'elle reçoit du réseau local vers l'Internet.

Facile, c'est le noyau Linux qui s'en occupe. Cela se configure via /etc/sysctl.conf:

net.ipv4.conf.default.forwarding=1

Dans un 2.6.22, ça ne suffit plus, remplacer par:

net.ipv4.ip_forward=1

Pour prendre en compte les paramètres:

sysctl -p

Pour vérifier:

sysctl -a | grep default.forwarding

Note: précedemment configuré dans /etc/network/options - à migrer si c'est le cas sur une ancienne machine (cf. /usr/share/doc/netbase/README.Debian).

IP masquerading

Un serveur Internet ne saura pas où envoyer une réponse à 192.168.1.10, par exemple. Du coup, il faut modifier l'adresse IP source des paquets, et la remplacer l'adresse IP publique de la passerelle.

Cette technique s'appelle le masquerading, et fait partie du concept plus général du NAT (network address translation). Cela se fait au niveau du pare-feu, iptables.

Cf. basic-firewall.txt

iptables -t nat -A POSTROUTING -o eth-inet -j MASQUERADE

Modules noyau

Le masquerading est très utilisé mais ne respecte pas le protocole IP. Il peut occasionner des soucis, par exemple pour le protocole FTP qui utilise deux connexions simultanées (contrôle et données).

Rajouter dans /etc/modules:

ip_conntrack_ftp
ip_nat_ftp

Note: Je n'ai pas eu besoin d'installer les modules pour IRC, ce n'est peut-être nécessaire que pour le DCC.

MTU

Il y a également des problèmes de taille de paquets trop gros. Sans entrer dans les détails, il s'agit du problème du MTU (maximum transfert unit).

Rajouter la ligne correspondante dans le pare-feu.

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth-inet --clamp-mss-to-pmtu

Droits

On ne fait du routage que pour le réseau interne. Pas question de router des paquets pour les extérieurs. Les paquets transmis, avant d'êtres NATés, passent par la règle FORWARD d'iptables:

iptables -A FORWARD -i ! eth-inet -o eth-inet -j ACCEPT
iptables -A FORWARD -i eth-inet -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j REJECT

Serveur DHCP

DHCP permet d'attribuer des adresses locales aux postes connectés au réseau, avec configuration automatique de l'adresse du routeur et des serveurs DNS.

Configuration minimale, /etc/dhcp3/dhcpd.conf:

ddns-update-style none;
log-facility local7;
authoritative;

option domain-name "masociete.local.";
option domain-name-servers 192.168.1.1;
#option domain-name-servers ns1.example.org, ns2.example.org;

subnet 192.168.1.0 netmask 255.255.255.0 {
 option domain-name-servers 192.168.1.1;
 option routers 192.168.1.1;

 # Adresses dynamiques
 range 192.168.1.101 192.168.1.150;

 # Adresses statiques
 host hplj4200n { hardware ethernet 00:01:E6:84:7F:34; fixed-address 192.168.1.21; }
 host miroir    { hardware ethernet 00:11:11:90:DF:37; fixed-address 192.168.1.50; }
}

Notez ensuite le nom de l'interface réseau locale dans /etc/default/dhcp3-server:

INTERFACES="eth-local"

Penser à ouvrir les ports dans le pare-feu pour DHCP (cf. basic-firewall.txt).

Serveur DNS

Il ne manque plus que la résolution de nom, pour lier par exemple www.cliss21.com à 87.98.154.26.

On va ici utiliser bind (paquet bind9). Configuration dans /etc/bind

Sous Debian, on ne touche qu'à named.conf.options et named.conf.local, named.conf étant géré par le paquet, sauf configuration non triviale.

Restriction d'accès au réseau local: ajouter dans named.conf.options, section options {:

allow-query     { 192.168.1.0/24; localhost; }; // default: all
allow-recursion { 192.168.1.0/24; localhost; }; // default: localnets; localhost;
allow-transfer  { 192.168.1.0/24; localhost; }; // default: all

Note: on peut être tenté d'utiliser l'ACL prédéfinie localnets, mais cela donnerait des accès également à une partie du réseau public Internet. À réserver pour le cas où les adresses IP du serveur DNS se situent exclusivement sur le réseau interne.

Définition de la zone locale, et de son reverse, dans named.conf.local:

zone "masociete.local" {
        type master;
        notify no;
        file "/etc/bind/master/masociete.local";
};
// Note: the IP network adress is written in reverse here:
zone "1.168.192.in-addr.arpa" {
        type master;
        notify no;
        file "/etc/bind/master/192.168.1";
};

On a ici un serveur DNS autonome, sans besoin de passer par les DNS du fournisseur d'accès (pour les curieux, voir /etc/bind/db.root). Si vous êtes dépendant des DNS du FAI (ex: pour récupérer la bonne IP de smtp.wanadoo.fr), passez en mode délégation dans named.conf.options:

forwarders { 80.10.246.130; 80.10.246.3; };

(Note: alternativement on peut rajouter une zone dans named.conf.local juste pour cette adresse:)

 // The public smtp.w.f is not a relay,
 //   you need to ask Wanadoo's DNS for the real IPs:
 zone "smtp.wanadoo.fr" {
   type forward;
   forward only; // don't ask anybody else
   forwarders { 80.10.246.130; 80.10.246.3; };
 };


Squelettes de zones, dans /etc/bind/master:

  • /etc/bind/master/masociete.local:
$TTL    3600               ; non-slaves refresh after 1 hour (e.g.: ISPs)
@       IN      SOA     passerelle.masociete.local. hostmaster.passerelle.masociete.local. (
                2007091202 ; serial (YYMMDDxx)
                      3600 ; slaves refresh after 1 hour
                      3600 ; slaves retry after 1 hour on failure
                   1209600 ; slaves expire after 2 weeks
                      3600 ; minimum negative cache TTL of 1 hour
        )
                NS      passerelle

passerelle      A       192.168.1.1
hplj4200n       A       192.168.1.21
miroir          A       192.168.1.50
alias           CNAME   miroir
  • /etc/bind/master/192.168.1 - reverse:
$TTL    3600
@       IN      SOA     passerelle.masociete.local. hostmaster.passerelle.masociete.local. (
                2007041601 ; serial (année+mois+jour+compteur)
                      3600 ; slaves refresh after 1 hour
                      3600 ; slaves retry after 1 hour on failure
                   1209600 ; slaves expire after 2 weeks
                      3600 ; minimum negative cache TTL of 1 hour
        )

                NS      passerelle.masociete.local.

; Don't forget the trailing '.'
1       PTR     passerelle.masociete.local.
21      PTR     hplj4200n.masociete.local.
50      PTR     miroir.masociete.local.

Avec ces fichiers, vous devriez avoir un serveur DNS fonctionnel. Pour tester:

host passerelle.masociete.local 192.168.1.1
dig passerelle.masociete.local @192.168.1.1
host 192.168.1.50 192.168.1.1
dig -x 192.168.1.50 @192.168.1.1

Penser à ouvrir le port 53 udp+tcp (cf. basic-firewall.txt).

Alternative: Dnsmasq

Le paquet dnsmasq fournit en même temps DHCP et DNS. Il relaie les requêtes DNS en utilisant le /etc/resolv.conf local. Je crois qu'il utilise également /etc/hosts pour configurer les adresses locales.

La configuration réseau et le partage de connexion reste à votre charge.

Il suffit dans la plupart des cas, mais peut s'avérer plus limité qu'une configuration avec dhcp3-server et bind. La configuration bind en particulier est nettement plus difficile et redondante, mais c'est un savoir réutilisable pour configurer un "vrai" DNS sur Internet.

Configuration minimale /etc/dnsmasq.conf:

dhcp-range=192.168.1.101,192.168.1.150,12h

Finitions

  • Accès distant:
    • DynDNS
    • Installer des clefs SSH dans /root/.ssh/authorized_keys
    • Supprimer l'authentification par mot de passe, pour éviter les attaques force brute, dans /etc/ssh/sshd_config:
ChallengeResponseAuthentication no
PasswordAuthentication no