Configuration physique du réseau
Pour l'exercice, le réseau est configuré d'une façon spécifique. Les switches
qui fournissent sont configurés pour partitionner les ports, ainsi:
- Certains ports n'autorisent une connectivité que au sein d'un même VLAN
- Certains ports autorisent une connectivité vers l'extérieur, et donc vers
le proxy
Configuration temporaire
Certaines machines possèdent plusieurs interfaces et sont connectées à un cable
de chaque type dans l'objectif de relier les différents réseaux entre eux. Dans
un premier temps, pour le jour 1 et le jour 2, une configuration temporaire a
été mise en place, en effet:
- Tous les postes requièrent un accès à internet pour accéder aux
documentations online (web)
- Les postes requièrent une connection entre eux pour permettre l'échange de
fichiers, le debugging de connections (ping, tcpdump etc)
Nous avons donc mis en place la configuration suivante:
(cliquer sur l'image pour obtenir une vue en plein ecran (nouvelle fenetre))
Réalités matérielles
En pratique, le premier jour, le bocal nous a remis un plan du réseau dans son
état habituel, et non en configuration rush. Après quelques heures de
tatonnement et en utilisant
ping,
arping,
tcpdump, nous sommes
arrivés à une configuration qui nous permette de travailler correctement.
Configuration d'une machine Linux (2.4/2.6) en routeur NAT
Que ce soit pour les configuration temporaires ou pour la configuration finale,
nous utilisons des machines en tant que routeur. Nos routeurs utilisent
NAT, car
ne disposant pas de configuration spéciale à l'extérieur, nos adresses internes
ne sont pas routables derrière nos routeurs.
La configuration d'un routeur
sous Linux est assez simple, si on respecte les différentes étapes:
Configuration du noyau
Certaines options doivent être activées dans le kernel (ici la configuration est
donnée pour le noyau 2.6, sur le 2.4 les options sont les mêmes, mais ne se
trouvent pas forcément au même endroit):
- Device Drivers
- Networking Support
- Networking Options
- Network Packet Filtering
- IP: Netfilter Configuration
- IP Tables Support
- MASQUERADE Target Support <*>
Pour activer le routage NAT
Les commandes suivantes sont à taper:
routeur-linux# echo 1 > /proc/sys/net/ipv4/ip_forward
routeur-linux# iptables -t nat -A POSTROUTING -j MASQUERADE
Si une route par défaut n'existe pas, il faut l'ajouter:
routeur-linux# route add -net default gw 10.251.254.254 dev eth1
La machine
10.251.254.254 est la gateway par défaut pour le
mid-lab. Dans cet exemple,
eth1 est l'interface reliée au cable qui
dispose d'un accès vers l'extérieur sur le switch (n'est pas relié à un VLAN).
Configuration des clients
Les clients se configurent de la façon suivante:
client# route add -net default gw 192.168.30.1 dev eth0
Notez que l'adresse que nous avons donné à la gateway est une adresse privée,
non routable depuis l'extérieur (d'où l'intérêt du NAT pour nous)