Comment faire : Nmap, Wireshark, TCPdump, IPTraf, IPerf, Nast, Ettercap...
 Charge moyenne sur 1mn : 2.04 Charge moyenne sur 5mn : 1.36 Charge moyenne sur 15mn : 1.13




Configurer un poste Linux pour naviguer sur InterNet

2 tutos en 1. Configuer un ordinateur sous Linux soit en mode routeur (2 cartes réseaux) soit en mode type poste de travail connecté derrière un routeur.

Informations

Dates
  • Publication : Lundi 22 décembre 2003
  • Modification : Samedi 05 décembre 2015

Partager

Traduire la page

Introduction

Nous allons expliquer comment configurer notre poste pour pouvoir naviguer sur internet. Détailler ainsi les fichiers de configurations et voir les régles firewall de bases pour se protéger des attaques. Nous utilisons pour cette documentation un Linux Debian. Certains fichers de configuration pouraient changer d'emplacement sur d'autres distributions (Mandrake).

Nous commençons par voir la configuration d'un poste client (derrère un routeur) puis celle d'un poste utilisé comme routeur/firewall.

Déclarons nos DNS

Les DNS servent à faire la relation entre une IP et un Nom. C'est à dire que si nos DNS ne sont pas déclarer nous pourons accéder à un serveur sur internet mais seulement en tappant son adresse IP (et non son Nom de domaine). ex : http://193.239.120.181 Une fois que nous aurons définis nos DNS nous pourons accéder à un serveur grâce à son nom de domaine (ex: http://bandapart.net) Donc déclarons nos DNS :

001 vi /etc/resolv.conf

et ajoutons plusieurs DNS (au moins 1):

001 nameserver 212.27.32.176
002 nameserver 212.27.32.2
003 nameserver 194.2.0.20
  • DNS chez Free : 212.27.32.176 - 212.27.32.2 - 212.27.32.175
  • DNS chez Nérim : 62.4.16.70 - 62.4.16.80
  • DNS chez Wanadoo : 193.252.19.3 - 193.252.19.4
  • DNS chez Aol : 205.188.146.146 - 202.67.95.0
  • DNS chez Alice et Tiscali : 212.216.172.62
  • DNS chez Cegetel : 194.6.128.3 - 194.6.128.4
  • DNS chez Club-Internet : 194.117.200.10 - 194.117.200.15
  • DNS chez Neuf Telecom : 212.30.96.108 - 213.203.124.146
  • DNS chez Numéricable : 81.220.255.4 - 80.236.0.68
  • DNS chez Télé2 : 130.244.127.161 - 130.244.127.162
  • DNS chez Liberty Surf : 194.149.160.9 - 194.149.160.9
  • DNS chez Magic Online : 194.149.160.9 - 194.149.160.1

DNS publics (accessible depuis n'importe quel accès Internet) : 194.2.0.20 - 194.2.0.50 - 195.132.0.132 - 195.132.0.193

Naviguer depuis un poste derrière un routeur

La commande pour savoir qu'elles sont nos interfaces ethernet configurées est ifconfig.

001 ifconfig

Nous devons actuellement trouver 1 interface : L'interface lo (boucle locale : interne à la machine) :

001 lo        Lien encap:Boucle locale
002           inet adr:127.0.0.1  Masque:255.0.0.0
003           adr inet6: ::1/128 Scope:Hôte
004           UP LOOPBACK RUNNING  MTU:16436  Metric:1
005           RX packets:11650 errors:0 dropped:0 overruns:0 frame:0
006           TX packets:11650 errors:0 dropped:0 overruns:0 carrier:0
007           collisions:0 lg file transmission:0
008           RX bytes:5509007 (5.2 MiB)  TX bytes:5509007 (5.2 MiB)

Pour assigner temporairement* une adresse IP à notre carte nous utilisons ifconfig :

001 ifconfig eth0 192.168.0.2

Maintenant en tapant ifconfig nous devions voir notre carte que nous venons de configurer. On doit trouver 2 interfaces. Notre carte ethernet et l'interface loop (local) :

001 eth0      Lien encap:Ethernet  HWaddr 00:E0:18:DC:94:3E
002           inet adr:192.168.0.2  Bcast:192.168.92.255  Masque:255.255.255.0
003           adr inet6: fe80::2e0:18ff:fedc:943e/64 Scope:Lien
004           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
005           RX packets:8715837 errors:0 dropped:0 overruns:0 frame:0
006           TX packets:9630301 errors:0 dropped:0 overruns:0 carrier:0
007           collisions:0 lg file transmission:1000
008           RX bytes:1323496476 (1.2 GiB)  TX bytes:3286670833 (3.0 GiB)
009           Interruption:177 Adresse de base:0x2000
010 
011 lo        Lien encap:Boucle locale
012           inet adr:127.0.0.1  Masque:255.0.0.0
013           adr inet6: ::1/128 Scope:Hôte
014           UP LOOPBACK RUNNING  MTU:16436  Metric:1
015           RX packets:11650 errors:0 dropped:0 overruns:0 frame:0
016           TX packets:11650 errors:0 dropped:0 overruns:0 carrier:0
017           collisions:0 lg file transmission:0
018           RX bytes:5509007 (5.2 MiB)  TX bytes:5509007 (5.2 MiB)

Pour définir une passerelle (une route) nous devons définir la route que prendra les packets pour accéder à internet.

001 route add -net default gw 192.168.0.1

où ici l'adresse IP de la passerelle est 192.168.0.1

  • temporairement parce qu'au prochain reboot votre carte ne sera plus configurée.

Pour que notre carte ethernet soit prise en compte au boot de la machine nous devons éditer le fichier de config des interfaces réseau.

001 vi /etc/network/interfaces

et y ajouter :

001 auto eth0
002 iface eth0 inet static
003         address 192.168.0.2
004         netmask 255.255.255.0
005         network 192.168.0.0
006         broadcast 192.168.0.255
007         gateway 192.168.0.1

Naviguer depuis un poste connecté directement à Internet

Donc la commande pour savoir qu'elles sont les interfaces ethernet configurées est ifconfig

001 ifconfig

Actuellement voilà ce que nous voyons (l'interface local (lo)) :

001 lo        Lien encap:Boucle locale
002           inet adr:127.0.0.1  Masque:255.0.0.0
003           adr inet6: ::1/128 Scope:Hôte
004           UP LOOPBACK RUNNING  MTU:16436  Metric:1
005           RX packets:11650 errors:0 dropped:0 overruns:0 frame:0
006           TX packets:11650 errors:0 dropped:0 overruns:0 carrier:0
007           collisions:0 lg file transmission:0
008           RX bytes:5509007 (5.2 MiB)  TX bytes:5509007 (5.2 MiB)

Déclarons une IP à notre carte : Vérifions si notre FAI à un serveur DHCP nous permettant de déclarer l'IP de notre carte relié au modem :

001 dhclient eth0

dhclient se connecte de l'interface eth0 sur le serveur DHCP pour qu'il lui assigne une IP (par rapport à sa mac adresse ou à la classe d'IP). Voilà nous avons maintenant notre carte eth0 configurée. Nous devons voir l'interface loop (lo) avec comme IP : 127.0.0.1 et notre carte ethernet (eth0) avec comme IP : 1.2.3.4 reliée au modem :

001 eth0      Lien encap:Ethernet  HWaddr 52:54:05:F5:95:BE
002           inet adr:1.2.3.4  Bcast:1.2.3.255  Masque:255.255.255.0
003           adr inet6: fe80::5054:5ff:fef5:95bc/64 Scope:Lien
004           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
005           RX packets:8715837 errors:0 dropped:0 overruns:0 frame:0
006           TX packets:9630301 errors:0 dropped:0 overruns:0 carrier:0
007           collisions:0 lg file transmission:1000
008           RX bytes:1323496476 (1.2 GiB)  TX bytes:3286670833 (3.0 GiB)
009           Interruption:177 Adresse de base:0x2000
010 
011 lo        Lien encap:Boucle locale
012           inet adr:127.0.0.1  Masque:255.0.0.0
013           adr inet6: ::1/128 Scope:Hôte
014           UP LOOPBACK RUNNING  MTU:16436  Metric:1
015           RX packets:11650 errors:0 dropped:0 overruns:0 frame:0
016           TX packets:11650 errors:0 dropped:0 overruns:0 carrier:0
017           collisions:0 lg file transmission:0
018           RX bytes:5509007 (5.2 MiB)  TX bytes:5509007 (5.2 MiB)
019 

Pour que notre carte ethernet soit prise en compte au boot (démarage) de la machine nous devons éditer le fichier de config des interfaces réseau.

001 vi /etc/network/interfaces

et y ajouter :

001 auto eth0
002 iface eth0 inet dhcp

Faire de notre machine un routeur

Si nous souhaitons faire de cette machine une passerelle/routeur, nous devons avoir une carte supplémentaire qui sera connecté au switch du réseau ou directement à un autre pc grâce à un cable RJ45 croisé. Occupons nous de notre réseau privé :

001 ifconfig eth1 192.168.0.1
002 

Nos 2 cartes sont configurées, en tappant ifconfig vous devez voir quelque chose approchant cela :

001 eth0      Lien encap:Ethernet  HWaddr 52:54:05:F5:95:BE
002           inet adr:1.2.3.4  Bcast:1.2.3.255  Masque:255.255.255.0
003           adr inet6: fe80::5054:5ff:fef5:95bc/64 Scope:Lien
004           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
005           RX packets:8715837 errors:0 dropped:0 overruns:0 frame:0
006           TX packets:9630301 errors:0 dropped:0 overruns:0 carrier:0
007           collisions:0 lg file transmission:1000
008           RX bytes:1323496476 (1.2 GiB)  TX bytes:3286670833 (3.0 GiB)
009           Interruption:177 Adresse de base:0x2000
010 
011 eth1      Lien encap:Ethernet  HWaddr 00:10:A7:1A:50:65
012           inet adr:192.168.0.1  Bcast:192.168.0.255  Masque:255.255.255.0
013           adr inet6: fe80::2e0:18ff:fedc:943e/64 Scope:Lien
014           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
015           RX packets:8715837 errors:0 dropped:0 overruns:0 frame:0
016           TX packets:9630301 errors:0 dropped:0 overruns:0 carrier:0
017           collisions:0 lg file transmission:1000
018           RX bytes:1323496476 (1.2 GiB)  TX bytes:3286670833 (3.0 GiB)
019           Interruption:177 Adresse de base:0x2000
020  
021 
022 lo        Lien encap:Boucle locale
023           inet adr:127.0.0.1  Masque:255.0.0.0
024           adr inet6: ::1/128 Scope:Hôte
025           UP LOOPBACK RUNNING  MTU:16436  Metric:1
026           RX packets:11650 errors:0 dropped:0 overruns:0 frame:0
027           TX packets:11650 errors:0 dropped:0 overruns:0 carrier:0
028           collisions:0 lg file transmission:0
029            RX bytes:5509007 (5.2 MiB)  TX bytes:5509007 (5.2 MiB)

Ajoutons au fichier de conf des interfaces réseau notre carte eth1.

001 vi /etc/network/interfaces

et y ajouter :

001 auto eth1
002 iface eth1 inet static
003         address 192.168.0.1
004         netmask 255.255.255.0
005         network 192.168.0.0
006         broadcast 192.168.0.255

Et faire le routage grâce à iptables qui permettra aux autres machines du réseau de pouvoir naviguer sur Internet. Iptables permet de configurer des règles de pare-feu ainsi que d'activer le Masquerading. Le masquerading permet de "cacher" toutes les adresses de notre réseau local. Les paquets partent sur Internet avec comme adresse source l'adresse de la passerelle. Notre réseau local est invisible sur internet (rappelez-vous que nous n'avons qu'une adresse IP attribuée par notre FAI et qu'il faut la partager).

001 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

ou

001 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT -o eth1 --to-source 1.2.3.4

sans oublier d'activer dans le noyeau le forward. à la volé :

001 echo 1 > /proc/sys/net/ipv4/ip_forward

en permanant :

001 vi /etc/network/options 

et remplacer ip_forward=no par ip_forward=yes

Explications pour configurer le pare-feu de notre machine routeur

On commence par configuer les "accés" à notre machine locale (la passerelle) : on va tout fermer :

001 # Fermer les portes
002 iptables -P INPUT DROP
003 iptables -P OUTPUT DROP
004 iptables -P FORWARD DROP

on accepte les réponses des requêtes qui sortent de notre firewall :

001 # On accepte tous ce qui vient d'ici
002 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
003 

on va autoriser l'accés à notre machine routeur/firewall sur le port 22 (SSH) du réseau local :

001 # Autoriser a se connecter sur la passerelle du réseau local
002 iptables -A INPUT -i eth1 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT
003 iptables -A OUTPUT -o eth1 -m state --state ESTABLISHED -p tcp --sport 22 -j ACCEPT

On continue en nous attaquant au réseau local (LAN) : on souhaite laisser passer toutes les requêtes vers et venant notre réseau local pour profiter entièrement de notre accès à Internet.

001 # Acces complet au net pour le LAN sur eth1
002 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
003 iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT

Voilà notre firewall est configuré. Imaginez maintenant que vous avez un serveur (logiciel) sur un poste de votre réseau local, il faudra alors router le port en question vers la machine serveur (toujours pour faire croire au réseau InterNet que votre machine passerelle (avec l'ip de votre FAI) héberge le serveur logiciel en question). Par exemple pour un serveur Web sur la machine 192.168.0.5 du réseau local et que votre IP Internet est 1.2.3.4

001 # WEB Serveur
002 iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.5:80
003 iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.5:443

ou tiens, un client p2p comme eMule :

001 iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 4657 -j DNAT --to-destination 192.168.0.8:4657

En espèrant que cela poura vous aider. Bien sûr cet article ne se veut pas exhaustif mais peut vous aider à comprendre le fonctionnement d'une configuration pour naviguer sur InterNet d'un Linux. Les configurations pouvent changer en fonction de ce que vous voulez faire et de votre raccordement InterNet.


<< Howto Proxmox VE : OpenVZ, KVM

C'est l'heure de l'IPv6 ! >>


Liens ZW3B.IPv6 : Internet Protocol V6

ZW3B.Links :

  1. How to - Anonymat sur InterNet
  2. How to - Virtual Private Network (VPN)

  3. How to - GNU/Linux > Environnement > Howto Proxmox VE : OpenVZ, KVM

  4. How to - GNU/Linux > Sécurité > Howto VPN serveur : IPSec + XL2TP
  5. How to - GNU/Linux > Sécurité > Howto VPN client : IPSec + XL2TP
  6. How to - Windows > Sécurité > Configurer un VPN client : IPSec + XL2TP
  7. How to - GNU/Linux > Shells > VPN IPSec + XL2TP : Routage des sous réseaux clients

  8. How to - GNU/Linux > Réseaux > OLSR - Optimized Link State Routing protocol

LAB3W.ORJ Alias de O.Romain JAILLET-RAMEY (NOTIF LVL 7 - 43 ans) LAB3W.ORJ
CONTACT
- Web - STEAM - Monster - LinkedIn - Viadeo - DailyMotion - FACEBOOK - GOOGLE+ - Twitter
DROITS SITES : ZW3B.Admin
INSCRIPTION : Le samedi 06 janvier 1 (2001/01/06 15:31)
CONNEXION : il y a bientôt 6 jours et demi (2020/03/28 18:51)
DERNIERE VISITE : il y a 3 minutes (2020/04/03 06:44)

les réactions des ZW3B.Nautes (0 note)

Ajouter un commentaire

Avatar par default
Pseudo :
Email :
 
Ajouter la chaine de caractères (le code) ci-dessous dans le champ du dessous.
Captcha
Code :





Valid XHTML 1.0 Strict CSS Valide !

ipv6 ready