Installation de votre nouveau domaine Mini-HOWTO Christopher Neufeld <neufeld@linuxcare.com> Traduction française par Geneviève Gracian <ggracian@free.fr> le 7 février 2001 version 0.12 du 17 octobre 2000 Ce document survole les opérations que vous serez probablement amené à réaliser quand vous voudrez mettre en place un réseau d'ordinateurs sous votre propre domaine. Il couvre la configuration du réseau, des services réseau ainsi que les paramétrages relatifs à la sécurité. Notes Mise en garde

Ce texte est une introduction. J'ai passé sous silence beaucoup de choses qui pourraient être présentées bien plus en détail et j'ai, probablement, raté entièrement des paragraphes importants. Toute suggestion concernant des compléments, suppressions, ou aspects sur lesquels je devrais donner plus ou moins de précisions est la bienvenue.

Nouvelles versions de ce document

La version la plus récente de ce document peut être trouvée à : .

Copyright

Copyright (c) Christopher Neufeld. Ce document peut être distribué selon les termes et conditions énoncés dans la licence LDP à l'adresse .

Introduction

Le présent document est un guide pour mettre en place votre propre domaine de machines Linux ou d'un mélange de machines Linux et de machines Windows sur une connexion permanente avec une IP fixe et un domaine propre.

Il n'est pas vraiment approprié pour des installations qui utilisent des adresses IP dynamiques, ou qui sont régulièrement déconnectées de leur fournisseur d'accès pendant de longues périodes ; cependant, des conseils de base pour mettre en place de telles installations figurent dans la section .

Avec la démocratisation des connexions permanentes et des IPs statiques, il est devenu plus aisé pour les personnes et les organisations de mettre en place un véritable domaine avec la présence internet qui y est associée. Une planification rigoureuse peut réduire les problèmes pouvant se poser par la suite.

L'essentiel de ce document décrit les techniques pour mettre en place une sécurité discrète sur le réseau nouvellement exposé. Il traite de la protection contre les attaques extérieures et contre les attaques internes « fortuites ». Il ne prétend pas proposer une une installation extrêmement sécurisée mais en général suffisante pour dissuader les agresseurs les moins obstinés.

Ce document s'adresse en premier lieu à de petites organisations ayant un réseau préexistant, éventuellement une connexion « dial-up » partagée, qui cherchent à évoluer vers une connexion permanente relativement rapide, tant pour mettre en oeuvre des échanges de fichiers avec le monde extérieur que pour créer un site www ou ftp. Il concerne également de nouvelles organisations qui veulent sauter les étapes préliminaires et mettre en place tout de suite une connexion rapide et héberger des services sous leur propre domaine.

Tout au long de ce document, je traiterai de la configuration d'un nouveau réseau enregistré sous le nom de example.com. Notez que example.com est réservé par l'IANA pour une utilisation dans les documentations et, par conséquent, ne correspondra jamais à un domaine existant.

La plupart des informations du présent document est disponible ailleurs. J'ai essayé de synthétiser l'essentiel concernant la création d'un nouveau domaine. Si les détails sur un sujet spécifique semblent « simplets », vous pouvez consulter un des documents plus explicites.

Ce document couvrira également le cas d'un environnement mixte composé de plusieurs systèmes d'exploitation. Plus spécialement je suppose que les postes de travail fonctionnent sous Windows, alors que les serveurs et passerelles fonctionnent sous Linux.

Définir la topologie de votre réseau

Bien qu'il existe des arguments en faveur de différentes architectures, les exigences de bien des organisations peuvent être satisfaites en intégrant les postes de travail et les serveurs privés dans un réseau privé, et les machines publiques sur des adresses IP externes valides. Les machines possédant les adresses IP publiques seront appelées dans la suite de ce document « hôtes exposés ». Ceci conduit à la topologie suivante (exemple) :

+--------------+ | | +---------------+ | routeur du |---------------| serveur FTP | | fournisseur | | +---------------+ | d'accès | | | | | +--------------+ | +----------------+ |------| serveur WWW #1 | | +----------------+ | | +----------------+ |------| serveur WWW #2 | | +----------------+ | ˜ ˜ | | +---------------+ |------| passerelle | | de réseau | | privé | +---------------+ | | | | +------------+ | +------------------+ | station #1 |-------------------|------| serveur privé #1 | +------------+ | +------------------+ | . -------------------|-------- . . | . . -------------------|-------- . | +------------+ | +------------------+ | station #N |-------------------|------| serveur privé #N | +------------+ +------------------+

Dans cet exemple, le routeur du FAI (fournisseur d'accès Internet -- provider--), le serveur FTP, les serveurs WWW et la machine désignée comme passerelle de réseau privé ont tous des adresses IP visibles depuis l'extérieur, alors que les stations et les serveurs privés ont des adresses IP réservées pour une utilisation privée. Voir la RFC1918 : ; en version française. Les adresses IP que vous choisissez pour votre réseau privé (tout ce qui est sous votre passerelle de réseau privé) doivent être uniques, mais pas seulement par rapport à l'ensemble des hôtes qui sont sous votre contrôle ; elles ne doivent pas non plus entrer en conflit avec des adresses attribuées dans les autres réseaux privés similaires, sur d'autres sites ou partenaires, avec lesquels vous pourriez vouloir un jour développer un réseau privé virtuel ; et ceci dans le but d'éviter déboires et reconfigurations lorsque les deux réseaux seront reliés de cette manière. Comme indiqué dans la RFC, vous pouvez opter pour un réseau de classe C entre les plages d'adresses 192.168.0.* et 192.168.255.*, un réseau de classe B compris entre les plages d'adresses 172.16.*.* et 172.31.*.*, ou bien, un réseau de classe A 10.*.*.*. Dans la suite de ce document, je supposerai que votre réseau privé (si vous avez choisi d'en créer un) est un réseau de classe C sur la plage 192.168.1.*, que l'interface extérieure de votre passerelle de réseau privé a l'adresse IP 10.1.1.9, une des adresses qui vous ont été allouées par le FAI (notez qu'il ne s'agit pas d'une adresse publique valide, je ne l'utilise que comme exemple). Je supposerai également qu'il y a une machine, betty.example.com à l'adresse 10.1.1.10, qui supporte simultanément le service FTP et le service www.

Faites le compte du nombre d'adresses IP externes dont vous avez besoin pour vos machines. Vous aurez besoin d'une adresse pour chacune des machines installées du coté externe de la passerelle de réseau privé, plus une pour la passerelle elle-même. Ce compte n'inclut pas toute IP qui pourrait être attribuée à d'autres routeurs, adresses de diffusion, etc. Vous devez demander à votre fournisseur d'accès un bloc d'adresses suffisamment grand pour mettre en place toutes vos machines. Par exemple, sur mon réseau professionnel, parmi les huit adresses IP allouées par le FAI, trois n'étaient pas utilisables par mes ordinateurs, laissant la place pour quatre machines à l'extérieur de la passerelle, plus la passerelle elle-même.

Cette topologie de réseau ne vaut pas pour tout le monde, mais elle constitue un point de départ raisonnable pour beaucoup de configurations qui n'ont pas de besoin particulier. Les avantages de cette configuration sont les suivants  :

facilité de développement. Si vous souhaitez doubler le nombre de vos noeuds dans le réseau privé, vous n'avez pas besoin de faire appel à votre fournisseur pour obtenir une plage d'adresses supplémentaire ni reconfigurer l'ensemble des interfaces de vos machines. contrôle local du réseau. Ajouter une nouvelle station de travail sur votre réseau privé ne requiert aucune intervention de votre provider, contrairement à l'ajout d'hôtes exposés ; ceux-ci ont besoin d'être cartographiés (connus) dans les bases de données DNS (direct et inversé) s'ils veulent accomplir certaines tâches (ssh et ftpd risquent de se plaindre s'il ne peuvent faire du DNS direct ou du DNS inversé sur des connexions entrantes). Une requête DNS inversé se fait dans le but d'obtenir le nom d'hôte à partir de l'adresse IP. sécurité centralisée. La passerelle de réseau privé, en filtrant les paquets et notant les attaques, permet de mettre en vigueur les règles de sécurité sur l'ensemble du réseau privé plutôt que d'avoir à installer de telles mesures sur chacun des serveurs et stations du réseau privé. Ceci est applicable non seulement pour les paquets entrants mais aussi pour les paquets sortants de sorte qu'une station mal configurée ne peut pas, par erreur, diffuser au monde extérieur une information qui doit rester interne. déplacement facilité. Du fait que les adresses IP à l'intérieur du réseau privé sont les vôtres pour autant de temps que vous le souhaitez, vous pouvez transposer l'ensemble du réseau sur une nouvelle série d'adresses IP publiques sans avoir à effectuer une quelconque modification de la configuration du réseau privé. Bien sûr, les hôtes publics nécessitent quand même d'être reconfigurés. accès à Internet transparent. Les machines du réseau privé peuvent continuer à utiliser FTP, telnet, WWW, et autres services avec un minimum d'embarras moyennant un camouflage « Linux-Masquerading ». Les utilisateurs peuvent même n'avoir jamais conscience que leurs machines n'ont pas d'adresse IP visible depuis l'extérieur.

Les désavantages potentiels de ce type de configuration sont les suivants  :

certains services ne seront pas disponibles directement sur les machines du réseau interne. La synchronisation NTP avec un hôte extérieur, quelques obscurs services dont les règles de masquage ne sont pas supportées dans le noyau, et l'authentification .shosts sur des hôtes externes sont tous difficiles voire impossibles, mais il existe quasiment toujours des procédures de contournement. coûts de matériel réseau plus élevé. La passerelle de réseau privé nécessite deux cartes réseau, et vous avez besoin d'au moins deux concentrateurs (hubs) ou commutateurs (switchs), l'un sur le réseau visible, l'autre sur le réseau privé. Les machines localisées à l'extérieur du réseau privé ne peuvent pas facilement se connecter sur les machines à l'intérieur du réseau privé. Elles doivent d'abord ouvrir une session sur la passerelle de réseau privé, puis se connecter au travers de celle-ci sur l'hôte interne. Il est possible de router des paquets de manière transparente à travers le pare-feu (firewall), mais ceci n'est pas recommandé pour des raisons de sécurité qui seront abordées plus tard.

Vous devriez tenir compte de tous ces points lors de l'élaboration de la topologie de votre réseau, et décider si un réseau entièrement visible est mieux adapté à votre cas. Dans la suite du document, je supposerai que vous avez configuré votre réseau comme montré ci-dessus. Si vous avez opté pour un réseau entièrement visible, certains détails différeront, et j'essayerai de signaler de telles différences.

Au cas où vous n'auriez pas besoin de serveur externe, le routeur fourni par le provider peut être directement connecté à l'interface externe de la passerelle de réseau privé, plutôt que par l'intermédiaire d'un hub.

Vous procurer votre connexion Choisir votre fournisseur d'accès

Comme pour tout, prospectez. Déterminez quelle est l'offre de services dans votre région, aussi bien que les coûts associés à chacun de ces services. Toutes les lieux ne sont pas câblés pour DSL, et certaines ne sont pas appropriés pour des connexions sans fils, à cause de contraintes géographiques, architecturales ou environnementales. Dans la mesure où la rapidité des liaisons DSL est intimement liée à la distance entre le point de liaison et le switch, soyez prêt à fournir l'adresse postale du lieu où la tête de votre liaison sera localisée, et posez également des questions précises sur la bande passante entre votre machine et le fournisseur d'accès, sur ce qui doit être fait pour installer la connexion et sur le matériel dont la location est comprise dans le forfait mensuel proposé. Vous devez également avoir une idée du nombre d'adresses IP dont vous avez besoin pour vos machines propres (rappelez-vous que les adresses de la série que vous obtiendrez ne seront pas toutes utilisables pour vos ordinateurs). Demandez au fournisseur d'accès quelle est sa bande passante totale vers l'extérieur car la vitesse déclarée dans sa proposition financière ne concerne que la liaison entre votre site et le sien. Si le provider a une bande passante insuffisante vers l'extérieur, ses clients auront à pâtir de goulots d'étranglements à l'intérieur de son réseau.

Une fois que vous avez présélectionné une liste de candidats, renseignez-vous, voyez si personne ne peut vous conseiller sur les prestataires que vous envisagez. Demandez leur quel type de bande passante ils obtiennent vers des sites non chargés. En outre, si vous avez l'intention d'avoir des connexions rapides entre le nouveau domaine et un accès internet personnel depuis chez vous, pour télétravailler ou bien pour faire de l'administration à distance, il est essentiel que vous fassiez un traceroute depuis votre connexion personnelle vers un hôte localisé chez le prestataire envisagé. Ceci vous renseignera sur le nombre de « pas », et la latence auxquels vous devez vous attendre entre chez vous et le nouveau domaine. Des latences supérieures à 100-200 millisecondes peuvent être problématiques pour des utilisations prolongées. Le traceroute doit être lancé aux moments de la journée pendant lesquels vous souhaitez utiler une connexion réseau entre votre domicile et le nouveau domaine.

Faire les préparatifs pour l'installation matérielle

Après avoir choisi le fournisseur et le type d'accès pour le nouveau domaine, renseignez-vous sur les détails de l'installation. Vous pouvez aussi bien avoir besoin d'une prestation de l'opérateur téléphonique en plus de celle du FAI afin de mettre en place l'accès, et les techniciens peuvent avoir besoin d'accéder à des zones contrôlées de vôtre bâtiment ; informez donc votre « responsable de la maintenance immobilière » des nécessités de l'installation. Avant que le technicien de l'ISP n'arrive, demandez les paramètres, tout spécialement les adresses IP, le masque de réseau, l'adresse de diffusion, l'adresse de la passerelle de routage, celle du serveur DNS, et également quel type de câblage est nécessaire pour le matériel apporté par le technicien (par exemple câble droit ou câble croisé RJ45, etc.).

Ayez une machine disponible pour les tests, et installez-la à proximité de l'endroit où le matériel de connexion au réseau sera localisé. Si possible, configurez-la avant que le technicien du prestataire n'arrive en paramétrant son adresse IP et le masque de réseau. Ayez également les câbles appropriés sous la main de façon à ce que les tests puissent être faits rapidement.

Tester la connexion

Une fois que votre machine de test est reliée au matériel du provider, assurez-vous que vous pouvez faire un ping sur une machine au delà du FAI. Si ce n'est pas possible, un traceroute vers l'extérieur peut vous aider à localiser la défaillance de la connexion. Si le traceroute ne montre aucun « pas » réussi, cela indique que la configuration réseau de votre machine (route par défaut, adresse de l'interface, pilote de la carte, DNS, etc.) n'est pas bonne. Si un seul « pas » est réussi, cela peut signifier que le routeur n'est pas correctement configuré pour communiquer avec le FAI. Si plusieurs « pas » sont réussis avant la défaillance, le problème est très certainement localisé chez le provider ou bien à l'extérieur, et hors de de votre contrôle immédiat.

Utiliser une IP dynamique