LINUX Installation et configuration réseau

Transcription

1 LINUX Installation et configuration réseau 1

2 Les différentes étapes Pour configurer le réseau il faut réaliser les étapes suivantes: faire un schéma du réseau existant identifier le/les matériel(s) réseau déterminer les pilotes gérant la/les carte(s) installée(s) dans la machine charger les pilotes nécessaires s'ils ne sont pas intégrés au noyau connecter physiquement la machine à un réseau 2

3 attribuer à chaque carte réseau une adresse et un masque en fonction de l'environnement de travail activer le routage entre interfaces si besoin installer les routes nécessaires pour accèder aux réseaux distants attribuer un nom à la machine: arbitraire ou utiliser les informations du serveur de nom 3

4 Établissement du schéma du réseau Absolument indispensable si le réseau est un tant soit peu complexe: plusieurs réseaux, services existants... Utiliser les documents existants Faire un relevé manuel à partir des informations obtenues en naviguant sur les différentes machines du réseau Commandes utiles: ifconfig, route, netstat, traceroute... Préparer l'installation en déterminant la/les adresses à employer, les routes à utiliser 4

5 Identification du matériel existant LIRE la documentation livrée avec la machine Examiner la carte = démontage Recherche sur INTERNET: PCI-HOWTO, ETHERNET- HOWTO (français et anglais : attention aux problèmes de traduction) Utiliser les commande lspci, discover donnant une liste des matériels connectés au bus PCI Si aucune information n'est disponible installer la machine en configurant l'interface dummy = la pseudointerface permettant de configurer le réseau sans avoir interface matérielle 5

6 La commande lspci la commande fait partie du paquet pciutils (DEBIAN) Le paquet pciutils contient également: update-pciids: charge une nouvelle version du fichier d'identification des identificateurs PCI pcimodules: liste les modules utilisés pour piloter les cartes installées setpci: permettant d'interroger et configurer des cartes PCI 6

7 Exemple <manset:-bash-948:~>$ lspci 0000:00:00.0 Host bridge: nvidia Corporation nforce2 AGP (different version?) (rev a2) 0000:00:00.1 RAM memory: nvidia Corporation nforce2 Memory Controller 1 (rev a2) 0000:00:00.2 RAM memory: nvidia Corporation nforce2 Memory Controller 4 (rev a2) 0000:00:00.3 RAM memory: nvidia Corporation nforce2 Memory Controller 3 (rev a2) 0000:00:00.4 RAM memory: nvidia Corporation nforce2 Memory Controller 2 (rev a2) 0000:00:00.5 RAM memory: nvidia Corporation nforce2 Memory Controller 5 (rev a2) 0000:00:01.0 ISA bridge: nvidia Corporation nforce2 ISA Bridge (rev a4) 0000:00:01.1 SMBus: nvidia Corporation nforce2 SMBus (MCP) (rev a2) 0000:00:02.0 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) 0000:00:02.1 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) 0000:00:02.2 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) 0000:00:04.0 Ethernet controller: nvidia Corporation nforce2 Ethernet Controller (rev a1) 0000:00:06.0 Multimedia audio controller: nvidia Corporation nforce2 AC97 Audio Controler (MCP) (rev a1) 0000:00:08.0 PCI bridge: nvidia Corporation nforce2 External PCI Bridge (rev a3) 0000:00:09.0 IDE interface: nvidia Corporation nforce2 IDE (rev a2) 0000:00:1e.0 PCI bridge: nvidia Corporation nforce2 AGP (rev a2) 0000:01:06.0 SCSI storage controller: Adaptec AIC-7892A U160/m (rev 02) 0000:02:00.0 VGA compatible controller: nvidia Corporation NV18 [GeForce4 MX - nforce GPU] (rev a3) 7

8 mode verbeux <manset:-bash-944:~>$ lspci -v 0000:00:00.0 Host bridge: nvidia Corporation nforce2 AGP (different version?) (rev a2) Flags: bus master, 66MHz, fast devsel, latency 0 Memory at d (32-bit, prefetchable) [size=64m] Capabilities: <available only to root> 0000:00:00.1 RAM memory: nvidia Corporation nforce2 Memory Controller 1 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 0000:00:00.2 RAM memory: nvidia Corporation nforce2 Memory Controller 4 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 0000:00:00.3 RAM memory: nvidia Corporation nforce2 Memory Controller 3 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 0000:00:00.4 RAM memory: nvidia Corporation nforce2 Memory Controller 2 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 0000:00:00.5 RAM memory: nvidia Corporation nforce2 Memory Controller 5 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 8

9 0000:00:04.0 Ethernet controller: nvidia Corporation nforce2 Ethernet Controller (rev a1) Subsystem: Micro-Star International Co., Ltd.: Unknown device 570c Flags: bus master, 66MHz, fast devsel, latency 0, IRQ 22 Memory at e (32-bit, non-prefetchable) [size=4k] I/O ports at e000 [size=8] Capabilities: [44] Power Management version :00:06.0 Multimedia audio controller: nvidia Corporation nforce2 AC97 Audio Controler (MCP) (rev a1) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: bus master, 66MHz, fast devsel, latency 0, IRQ 21 I/O ports at e400 [size=256] I/O ports at e800 [size=128] Memory at e (32-bit, non-prefetchable) [size=4k] Capabilities: [44] Power Management version :00:08.0 PCI bridge: nvidia Corporation nforce2 External PCI Bridge (rev a3) (prog-if 00 [Normal decode]) Flags: bus master, 66MHz, fast devsel, latency 0 Bus: primary=00, secondary=01, subordinate=01, sec-latency=32 I/O behind bridge: 0000d dfff Memory behind bridge: de dfffffff 0000:00:09.0 IDE interface: nvidia Corporation nforce2 IDE (rev a2) (prog-if 8a [Master SecP PriP]) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: bus master, 66MHz, fast devsel, latency 0 I/O ports at f000 [size=16] Capabilities: [44] Power Management version 2 9

10 0000:00:1e.0 PCI bridge: nvidia Corporation nforce2 AGP (rev a2) (prog-if 00 [Normal decode]) Flags: bus master, 66MHz, medium devsel, latency 32 Bus: primary=00, secondary=02, subordinate=02, sec-latency=32 Memory behind bridge: dc ddffffff Prefetchable memory behind bridge: d dbffffff 0000:01:06.0 SCSI storage controller: Adaptec AIC-7892A U160/m (rev 02) Subsystem: Adaptec Ultra160 SCSI Controller Flags: bus master, 66MHz, medium devsel, latency 32, IRQ 19 BIST result: 00 I/O ports at d000 [disabled] [size=256] Memory at df (64-bit, non-prefetchable) [size=4k] Capabilities: [dc] Power Management version :02:00.0 VGA compatible controller: nvidia Corporation NV18 [GeForce4 MX - nforce GPU] (rev a3) (prog-if 00 [VGA]) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5710 Flags: bus master, 66MHz, medium devsel, latency 32, IRQ 16 Memory at dc (32-bit, non-prefetchable) [size=16m] Memory at d (32-bit, prefetchable) [size=64m] Memory at d (32-bit, prefetchable) [size=512k] Capabilities: [60] Power Management version 2 Capabilities: [44] AGP version

11 discover manset:~# discover -v Loading XML data... ata pci pcmcia scsi usb Done Scanning buses... ata pci pcmcia scsi usb Done nvidia Corporation NV18 [GeForce4 MX - nforce GPU] Adaptec AIC-7892A U160/m nvidia Corporation nforce2 AGP nvidia Corporation nforce2 IDE nvidia Corporation nforce2 External PCI Bridge nvidia Corporation nforce2 AC97 Audio Controler (MCP) nvidia Corporation nforce2 Ethernet Controller nvidia Corporation nforce2 USB Controller nvidia Corporation nforce2 USB Controller nvidia Corporation nforce2 USB Controller nvidia Corporation nforce2 SMBus (MCP) nvidia Corporation nforce2 ISA Bridge nvidia Corporation nforce2 Memory Controller 5 nvidia Corporation nforce2 Memory Controller 2 nvidia Corporation nforce2 Memory Controller 3 nvidia Corporation nforce2 Memory Controller 4 nvidia Corporation nforce2 Memory Controller 1 nvidia Corporation nforce2 AGP (different version?) 11

12 manset:~# discover -v --type-summary --disable-bus all --enable-bus pci network Disabled ata Disabled pci Disabled pcmcia Disabled scsi Disabled usb Enabled pci Loading XML data... pci Done nvidia Corporation nforce2 Ethernet Controller 12

13 Détermination des pilotes 13

14 Ethernet-HOWTO Documentation Documentation du noyau : /usr/src/linux/documentation en général L'aide dans la configuration du noyau: make xconfig et utiliser l'aide associé à chaque option de configuration des pilotes de cartes Ethernet Une machine déjà installée identique ou ayant la même carte réseau : ATTENTION certains constructeurs changent le matériel des cartes réseau sans changer le type de carte Un CD type Knoppix Une installation existante 14

15 Un programme shell chargeant les modules réseau les uns après les autres manset:/usr/include/sys# uname -a Linux manset #1 Wed Sep 15 15:29:45 CEST 2004 i686 GNU/Linux manset:/lib/modules/2.6.8# cd /lib/modules/2.6.8/kernel/drivers/net/ /lib/modules/2.6.8/kernel/drivers/net /lib/modules/2.6.8 /usr/include/sys /usr/include ~ manset:/lib/modules/2.6.8/kernel/drivers/net# ls 3c501.ko cs89x0.ko hamachi.ko plip.ko starfire.ko 3c503.ko de600.ko hamradio/ ppp_async.ko sundance.ko 3c505.ko de620.ko hp-plus.ko ppp_deflate.ko sungem.ko 3c507.ko defxx.ko hp.ko ppp_generic.ko sungem_phy.ko 3c509.ko depca.ko hp100.ko ppp_synctty.ko sunhme.ko 3c515.ko dl2k.ko irda/ pppoe.ko tg3.ko 3c59x.ko dummy.ko ixgb/ pppox.ko tlan.ko 8139cp.ko e100.ko lance.ko r8169.ko tokenring/ 8139too.ko e1000/ lp486e.ko rrunner.ko tulip/ ko e2100.ko mii.ko s2io.ko tun.ko 8390.ko eepro.ko natsemi.ko sb1000.ko typhoon.ko ac3200.ko eepro100.ko ne.ko seeq8005.ko via-rhine.ko amd8111e.ko eexpress.ko ne2k-pci.ko shaper.ko wan/ appletalk/ epic100.ko netconsole.ko sis900.ko wd.ko arcnet/ eql.ko ni5010.ko sk98lin/ wireless/ at1700.ko eth16i.ko ni52.ko skfp/ yellowfin.ko atp.ko ethertap.ko ni65.ko slhc.ko znet.ko b44.ko ewrk3.ko ns83820.ko slip.ko bonding/ fealnx.ko pcmcia/ smc-ultra.ko bsd_comp.ko forcedeth.ko pcnet32.ko smc9194.ko manset:/lib/modules/2.6.8/kernel/drivers/net# manset:/lib/modules/2.6.8/kernel/drivers/net# for m in *.ko > do > m=$(basename $m.ko) > echo "Chargement du modules:" $m > echo modprobe -a $m > done Chargement du modules: 3c501 modprobe -a 3c501 Chargement du modules: 3c503 modprobe -a 3c503 Chargement du modules: 3c505 modprobe -a 3c505 Chargement du modules: 3c

16 Nom de la machine Initialisé au chargement du système à partir du contenu du fichier /etc/hostname qui contient, sur une ligne unique le nom court de la machine utilisé par certaines commandes, bash par exemple pour générer un caractère d'appel personnalisé (\h). Exemple : manset Le nom utilisé sur le réseau est défini par l'adresse attribuée à une interface et l'une des sources suivantes : le fichier /etc/hosts, le service de nom DNS Il est très important que le nom de la machine soit résolu correctement en son adresse IP et inversement car nombre de logiciels utilise ces résolutions pour information ou vérification Commandes utiles : hostname, host, nslookup 16

17 Adressages 17

18 Chaque machine est identifiée par trois adresses: Adresse Ethernet de 48 bits ne fait pas réellement partie de TCP/IP mais est utilisée dans certains protocoles (ARP, RARP,BOOTP), cette adresse n'est utilisée que dans le réseau auquel appartient la machine Adresse Internet ou adresse IP : adresse de 32 bits utilisée de l'émetteur au récepteur, notée généralement sous forme pointée : Adresse symbolique transformée en adresse IP à l'aide du service de nom. Un nom complètement qualifié (FQDN : fully qualified domain name) est terminé par un «.» (DNS) 18

19 Ethernet 19

20 Mise au point par Xérox, DEC, INTEL trame Ethernet II Réseau de type bus Normalisé par la norme et suivantes Vitesse de 10Mbits à 1GBits Réseau à détection de collision CSMA/CD Utilisables sur de nombreux support Les trames éthernet (802.3) ont une longueur variable comprise entre 64 et 1526 octets La trame comporte un préambule, un en-tête, une taille, des données et un champ de contrôle cyclique CRC 20

21 Préambule En-tête Données Lg CRC Le préambule est une succession de 64 bits 0, 1 alternés, utilisés pour la synchronisation L'en-tête (12 octets) comporte les adresses source et destination LG :longueur des données 2 octets Entre 46 et 1500 octets de données qui sont les données émises par le protocole de niveau supérieur (IP très souvent) CRC : contrôle cyclique 4 octets 21

22 Adresse ETHERNET Par construction les adresses ETHERNET sont uniques Contenue en dur dans les composants de la carte Créée par le constructeur du coupleur/carte 6 octets: 3+3 Numéro IEEE du constructeur Numéro d'ordre Logiciel de configuration (ifconfig,...) peut permettre de la modifier créant ainsi des problèmes de sécurité par usurpation d'adresse éthernet. Stratégie de sécurité fondée sur l'adresse éthernet par ailleurs discutable. 22

23 Adresse internet : IP/V4 Identifiant binaire compact de 32 bits noté en général sous forme pointée Utilisée par les protocoles sans les points séparateurs Décomposition hiérarchique : Réseau, Machine Le masque d'adressage permet de trouver chacune des 2 composantes : réseau, machine Plusieurs classes d'adresse ont été définies 23

24 Masque Une classe = une décomposition des 32 bits en R,M par un masque pré-défini standard dans chaque classe Adresse & Masque = réseau Adresse et ~Masque = machine Exemple : / R= & = M= & = 23 24

25 Classes 25

26 A B C D E 0 Réseau ID Machine 1 à à Réseau à ID Machine 1 à Réseau ID Machine à à Adresse de diffusion de groupe 224 à Réservé pour utilisation future 240 à

27 Masque standard des classes Classe A: ou /8 Classe B: ou /16 Classe C: ou /24 La fragmentation d'une classe d'adresse est réalisée par augmentation de la taille du masque standard de la classe Classe B en 256 pseudo classe C : utilise un masque de 24 bits = Le masque non standard est indispensable pour le routage 27

28 Exemples / : réseau 17 machine /16: réseau machine / : réseau machine 12 28

29 Adresses spécifiques Machine = 0 n'est pas attribué à une machine mais identifie le réseau, : R=17, M=0.0.0 Machine = adresse de diffusion restreinte, utilisée pour atteindre toute les machines appartenant à un réseau donné : toutes les machines du réseau Si un masque de 16 bits est utilisé nous aurons 256 adresses de diffusion restreinte, une par sous-réseau : , (32 bits égaux à 1) : adresse de diffusion globale, toute les machines quelles que soient leurs adresses. Utilisé seulement lorsqu'une machine ne connaît pas le réseau auquel elle appartient 29

30 Adresses spécifiques (2) Une valeur zéro dans un champ d'adresse doit être interprété comme celui-ci Partie machine ne comportant que des 0 : cette machine Partie réseau ne comportant que des 0 : ce réseau Cette dernière valeur est utilisée lorsque les machines ne connaissent pas encore l'adresse réseau 30

31 Résumé Tout à zéro Cette machine Zéro Machine Machine du réseau Tout à 1 Réseau Tout à n'importe quoi Diffusion globale Diffusion dirigée Boucle locale 31

32 Fragmentation d'une classe Les classes A et B correspondent à un nombre de machines très important, , Irréaliste en raison des collisions Le masque permet de découper un réseau en plusieurs sous réseaux L'utilisation du masque est obligatoire car on fait un routage de réseau La fragmentation d'une classe est une extension du masque standard obtenue en utilisant une partie de la partie machine Un masque est obligatoirement une suite 1 suivi d'une suite de 0 32

33 Classe d'origine Réseau Machine Fragmentation : on étend le nombre de bits affectés au réseau : 2 bits par exemple donnent 4 sous-réseaux Réseau Ext Machine Classe A : R/8 à R/16 = 256 sous réseaux de 2 16 machines 33

34 La fragmentation défini des sous-ensembles disjoints et continus de l'ensemble des adresses du réseau R d'origine [0-63],[64-127],[ ],[ ] par exemple Un masque est une suite de 1, au minimum 8, suivi d'une suite de 0, deux au minimum 8 bits égaux à 1 = , masque de classe A 2 bits égaux à 0 = sous réseaux de 4 adresses Les nombres composants le masque sont égaux à une puissance de 2 en commençant par 128 Masques valides : , , , ,... Masques non valides : , , ,

35 Extension d'un masque de classe A à 10 bits R= et masque de 10 bits SR0= , ADiff= Extension= 00 SR1= , ADiff= Extension= 01 SR2= , ADiff= Extension= 10 SR3= , ADiff= Extension= 11 Masque commun : 10 bits, =

36 R= et masque de 12 bits 4 sous réseaux : 10.0, 10.64, , SR0= , ADiff= Extension = SR1= , ADiff= Extension = SR2= , ADiff= Extension = SR3= , ADiff= Extension =

37 /16 fragmentée / R 0 0 R AD 64 0 R AD R AD R AD AD 37

38 Exemples simples 38

39 Classe A en simili classe B : 256 sous réseaux de 2 16 adresses Utilisation d'un masque de 16 bits Réseaux : 12.0, 12.1,..., , /16 : R=12.45, M= Classe B découpée en 256 sous réseaux de 256 adresses, simili classe C /24 correspond à définir les sous réseaux X/ X/ X/ : R= , M=169 39

40 Exemples plus compliqués 40

41 Fragmentation d'une classe C en sous réseau de 64 machines Extension du masque à 26 bits 4 sous réseaux définis : , , , /26 : sous réseau 1 R= , M= /26 R= , M= /26 R= , M=2 41

42 Il est possible de fragmenter une classe en sous réseaux de tailles différentes : 128,64,32,32 Utilisation de masques différents selon le réseau /25 : SR1 de 128 machines /26 : SR2 de 64 machines /27 : SR3 de 32 machines /27 : SR4 de 32 machines Dans les liaisons Point à Point (PPP) on utilise un masque de 32 bits car on définit un réseau comportant seulement 2 machines 42

43 SR0, masque de 25 bits R= AD= SR1, masque de 26 bits R= AD= SR2, masque de 27 bits R= AD= SR3, masque de 27 bits R= AD=

44 Notation CIDR Le concept de classe est inadapté à l'évolution de l'internet Les classes A,B et C génèrent un gâchis d'adresse dans le cas de réseau de petite dimension La notation CIDR est un couple ADRESSE/MASQUE ADRESSE = adresse du réseau MASQUE = nombre de bits du masque >=8 Le couple est indissociable et doit être utilisé dans les tables de routage 44

45 Adresse publiques/privées Définitions adresse publique : adresse dont l'utilisation permet de communiquer avec d'autres machines connectées à INTERNET adresse privée : adresse dont l'utilisation est interdite sur INTERNET (les routeurs de bordure doivent détruire les paquets contenant une adresse de ce type) Classes privées : la classe A les classes B à les classes C

46 commande de configuration d'une interface : ifconfig 46

47 Sans paramètres ou avec -a : liste les interfaces configurées Avec un nom d'interface + une adresse configure l'interface en utilisant le masque standard correspondant à la classe de l'adresse(a,b,c) La commande précédente établit automatiquement une route vers le réseau netmask et broadcast permettent de configurer l'interface dans le cas d'une classe fragmentée down déconfigure l'interface et supprime l'ensemble des routes attachées à cette interface 47

48 Exemples Interface lo : interface de bouclage pcbook:~# ifconfig lo lo Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:145 errors:0 dropped:0 overruns:0 frame:0 TX packets:145 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:29571 (28.8 KiB) TX bytes:29571 (28.8 KiB) Toutes les interfaces actives pcbook:~# ifconfig eth0 Link encap:ethernet HWaddr 00:30:13:65:00:B5 inet6 addr: fe80::230:13ff:fe65:b5/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:8 dropped:0 overruns:0 carrier:8 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:1404 (1.3 KiB) lo Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:145 errors:0 dropped:0 overruns:0 frame:0 TX packets:145 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:29571 (28.8 KiB) TX bytes:29571 (28.8 KiB) 48

49 Exemples (suite) pcbook:~# ifconfig -a eth0 Link encap:ethernet HWaddr 00:30:13:65:00:B5 inet6 addr: fe80::230:13ff:fe65:b5/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:16 errors:16 dropped:0 overruns:0 carrier:16 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:2808 (2.7 KiB) eth1 lo sit0 V4 Link encap:unspec HWaddr C-E0-1C-90-CF BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:145 errors:0 dropped:0 overruns:0 frame:0 TX packets:145 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:29571 (28.8 KiB) TX bytes:29571 (28.8 KiB) eth1 est l'interface réseau sur le bus IEEE1394 Link encap:ipv6-in-ipv4 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 sit0 est l'interface d'encapsulation d'ip V6 dans IP collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) 49

50 Configuration sans interface matérielle 50

51 On utilise un module spécial du noyau appelé dummy Après chargement de ce module une interface matérielle est créée sans qu'il existe de matériel réseau dans la machine Cette interface est alors configurable 51

52 Exemple manset:~# modprobe -a dummy manset:~# lsmod Module Size Used by dummy fan manset:~# ifconfig dummy manset:~# ifconfig -a dummy0 Lien encap:ethernet HWaddr F6:B8:94:1A:0E:01 inet adr: Bcast: Masque: adr inet6: fe80::f4b8:94ff:fe1a:e01/64 Scope:Lien UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:3 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:0 (0.0 b) TX bytes:210 (210.0 b) 52

53 Configuration avec une adresse de classe A manset:~# ifconfig eth manset:~# ifconfig eth0 Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr: Bcast: Mask: inet6 addr: fe80::20c:76ff:fe3b:779a/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:616 (616.0 b) Interrupt:11 Base address:0xc000 lo Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:560 (560.0 b) TX bytes:560 (560.0 b) manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth0 53

54 Configuration manuelle avec une adresse de classe C Configuation de l'interface eth0 avec l'adresse : manset:~# ifconfig eth manset:~# ifconfig eth0 eth0 Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr: Bcast: Mask: inet6 addr: fe80::20c:76ff:fe3b:779a/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:3 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:238 (238.0 b) Interrupt:11 Base address:0xc000 La configuration de l'interface eth0 avec une adresse de classe C détermine automatiquement le masque et l'adresse de diffusion. Quelque soit l'adresse et la classe, l'ajout d'une route vers le réseau est automatique manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth0 54

55 Configuration avec une adresse de Classe C fragmentée manset:~# ifconfig eth netmask broadcast manset:~# ifconfig eth0 Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr: Bcast: Mask: inet6 addr: fe80::20c:76ff:fe3b:779a/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:19 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:1442 (1.4 KiB) Interrupt:11 Base address:0xc000 lo Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:560 (560.0 b) TX bytes:560 (560.0 b) manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth0 55

56 Attribution d'adresse(s) à l'initialisation du système Effectuée à l'initialisation du système par le fichier de commande /etc/init.d/networking Ce fichier exploite les informations contenues dans le fichier /etc/network/interfaces pour configurer les différentes interfaces Il utilise la commande ifup (ifdown) qui font appel à la seule commande configurant réellement une interface : ifconfig Attention à la cohérence avec le fichier /etc/hosts 56

57 route Permet de manipuler la table de routage Format : route commande paramètres Commandes utilisables : add : ajouter une route del supprimer une route Les routes peuvent désigner: un réseau : route add -net r gw adresse [netmask m] une machine : route add -host machine gw adresse netmask masque permet de configurer une route vers un sous réseau, obligatoire dans le cas d'une classe fragmentée 57

58 Configuration et routage manset:~# ifconfig eth0 up netmask manset:~# ifconfig eth0 Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr: Bcast: Mask: inet6 addr: fe80::20c:76ff:fe3b:779a/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:23 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:1750 (1.7 KiB) Interrupt:11 Base address:0xc000 lo Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:560 (560.0 b) TX bytes:560 (560.0 b) 58

59 manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth0 Ajout d'une route vers un réseau manset:~# route add -net netmask gw manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UG 0 0 eth UG eth0 Ajout d'une passerelle par défaut manset:~# route add -net default gw manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth UG eth UG eth0 La route vers devient inutile,elle pourrait être supprimée 59

60 /etc/init.d/networking case "$1" in start) if init_is_upstart; then exit 1 fi process_options check_ifstate if [ "$CONFIGURE_INTERFACES" = no ] then log_action_msg "Not configuring network interfaces, see /etc/default/networking" exit 0 fi set -f exclusions=$(process_exclusions) log_action_begin_msg "Configuring network interfaces" if ifup -a $exclusions $verbose && ifup_hotplug $exclusions $verbose then log_action_end_msg $? else log_action_end_msg $? fi 60

61 Certaines options de fonctionnement sont déterminées par les fichiers /etc/default/networking /etc/sysctl.conf Des valeurs par défaut sont données par ce fichier de commandes Toutes les interfaces décrites dans le fichier interfaces sont configurées par la commande ifup La configuration réelle est réalisée par la commande ifconfig 61

62 /etc/default/networking # Configuration for networking init script being run during # the boot sequence # Set to 'no' to skip interfaces configuration on boot #CONFIGURE_INTERFACES=yes # Don't configure these interfaces. Shell wildcards supported/ #EXCLUDE_INTERFACES= # Set to 'yes' to enable additional verbosity #VERBOSE=no 62

63 /etc/sysctl.conf # /etc/sysctl.conf - Configuration file for setting system variables # See /etc/sysctl.d/ for additonal system variables # See sysctl.conf (5) for information. # #kernel.domainname = example.com # Uncomment the following to stop low-level messages on console #kernel.printk = ##############################################################3 # Functions previously found in netbase # # Uncomment the next two lines to enable Spoof protection (reverse-path filter) # Turn on Source Address Verification in all interfaces to # prevent some spoofing attacks #net.ipv4.conf.default.rp_filter=1 63

64 /etc/sysctl.conf # Uncomment the next line to enable TCP/IP SYN cookies # See #net.ipv4.tcp_syncookies=1 # Uncomment the next line to enable packet forwarding for IPv4 #net.ipv4.ip_forward=1 # Uncomment the next line to enable packet forwarding for IPv6 #net.ipv6.conf.all.forwarding=1 ################################################################### # Additional settings - these settings can improve the network # security of the host and prevent against some network attacks # including spoofing attacks and man in the middle attacks through # redirection. Some network environments, however, require that these # settings are disabled so review and enable them as needed. # # Do not accept ICMP redirects (prevent MITM attacks) #net.ipv4.conf.all.accept_redirects = 0 64

65 /etc/sysctl.conf #net.ipv4.conf.all.accept_redirects = 0 #net.ipv6.conf.all.accept_redirects = 0 # _or_ # Accept ICMP redirects only for gateways listed in our default # gateway list (enabled by default) # net.ipv4.conf.all.secure_redirects = 1 # # Do not send ICMP redirects (we are not a router) #net.ipv4.conf.all.send_redirects = 0 # # Do not accept IP source route packets (we are not a router) #net.ipv4.conf.all.accept_source_route = 0 #net.ipv6.conf.all.accept_source_route = 0 # # Log Martian Packets #net.ipv4.conf.all.log_martians = 1 # # The contents of /proc/<pid>/maps and smaps files are only visible to # readers that are allowed to ptrace() the process # kernel.maps_protect = 1 65

66 /etc/network/interfaces # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address netmask network broadcast gateway up route add -net netmask gw down route del -net netmask gw

67 Plus compliqué # The loopback interface auto lo iface lo inet loopback #Reseau enseignement informatique auto eth0 iface eth0 inet static up /usr/local1/bin/static_route_up.eth0 down /usr/local1/bin/static_route_down.eth0 address netmask network broadcast #Reseau recherche au BC auto eth1 iface eth1 inet static up /usr/local1/bin/static_route_up.eth1 down /usr/local1/bin/static_route_down.eth1 address netmask network broadcast

68 #Pour le DHCP dans le auto eth2 iface eth2 inet static address netmask network broadcast #Liaison Renater = routeur CISCO du CRI auto eth3 iface eth3 inet static up /usr/local1/bin/static_route_up.eth3 down /usr/local1/bin/static_route_down.eth3 address netmask network broadcast gateway #Liaison GMP/GTE/Amphiteatre auto eth4 iface eth4 inet static up /usr/local1/bin/static_route_up.eth4 down /usr/local1/bin/static_route_down.eth4 address netmask network broadcast

69 routeur:~# ifconfig eth0 Link encap:ethernet HWaddr 00:06:5B:F0:A3:4D inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (878.3 MiB) TX bytes: (2.0 GiB) Interrupt:28 Base address:0xece0 Memory:fdce0000-fdd00000 eth1 Link encap:ethernet HWaddr 00:02:B3:BD:85:E2 inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (740.5 MiB) TX bytes: (1.2 GiB) Interrupt:76 Base address:0xdcc0 69

70 eth3 eth4 lo Link encap:ethernet HWaddr 00:02:B3:BD:85:FC inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:18 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (305.6 MiB) TX bytes: (3.8 GiB) Interrupt:148 Base address:0xcc80 Link encap:ethernet HWaddr 00:02:B3:BD:85:FB inet addr: Bcast: Mask: UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:8658 errors:0 dropped:0 overruns:8655 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes: (355.1 KiB) Interrupt:16 Base address:0xbcc0 Link encap:local Loopback inet addr: Mask: UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes: (232.6 MiB) TX bytes: (232.6 MiB) 70

71 routeur:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UG eth U eth U eth U eth UG eth UG eth U eth UG eth3 71

72 Plusieurs adresses pour une interface Permet de faire coexister deux réseaux logiques sur un seul réseau physique Evite d'avoir à utiliser deux cartes réseau Pour une interface on définit deux adresses appartenant chacune à un réseau La couche IP doit effectuer le routage entre interfaces sinon les 2 réseaux ne peuvent communiquer Sur le réseau physique circulent donc des paquets dont les adresses appartiennent à deux réseaux différents 72

73 Schéma du réseau / / /24 IP privée IP publique /24 73

74 Fichier interface # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) # The loopback interface # automatically added when upgrading auto lo iface lo inet loopback auto eth1 iface eth1 inet static address netmask network auto eth1:priv iface eth1:priv inet static address netmask network broadcast auto eth0 iface eth0 inet static address netmask network broadcast

75 Configuration avec un client DHCP DHCP = Dynamic Host Configuration Program Programme utilisant l'adresse de diffusion pour se connecter à un serveur DHCP afin d'obtenir une adresse Il doit exister un serveur pouvant répondre dans le même réseau car les adresses de diffusion ne traverse pas les routeurs (relais DHCP) Le serveur peut attribuer l'adresse selon différents critères : adresse physique, ensemble d'adresses disponibles, origine de la demande s'il possède plusieurs interfaces... Client DHCP : dhclient, udhcpc, pump,... 75

76 Initialisation automatique 76

77 /etc/network/interface # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp Initialisation de l'interface par un client dhcp 77

78 Initialisation manuelle 78

79 Le fichier interface ne décrit pas l'interface # The loopback network interface auto lo iface lo inet loopback 79

80 Initialisation manuelle Adresse du serveur DHCP ayant répondu soleil5:~# dhclient ath0 Adresse attribuée Internet Systems Consortium DHCP Client V3.0.4 Copyright Internet Systems Consortium. All rights reserved. For info, please visit wifi0: unknown hardware address type 801 wifi0: unknown hardware address type 801 Listening on LPF/ath0/00:17:f2:44:15:3e Sending on LPF/ath0/00:17:f2:44:15:3e Sending on Socket/fallback DHCPDISCOVER on ath0 to port 67 interval 5 DHCPOFFER from DHCPREQUEST on ath0 to port 67 DHCPACK from bound to renewal in 2816 seconds. Temps d'allocation 80

81 /etc/hosts Contenu doit être cohérent avec interfaces Utilisé pour la résolution de nom Certains logiciels l'exploite pour déterminer le nom court et le nom complètement qualifié de la machine Permet de spécifier des adresses de machines non enregistrées dans un serveur de nom 81

82 Exemple localhost manset.iut-bm.univ-fcomte.fr manset cluster1.iut-bm.univ-fcomte.fr cluster cluster2.iut-bm.univ-fcomte.fr cluster cluster3.iut-bm.univ-fcomte.fr cluster cluster4.iut-bm.univ-fcomte.fr cluster cluster5.iut-bm.univ-fcomte.fr cluster cluster6.iut-bm.univ-fcomte.fr cluster cluster7.iut-bm.univ-fcomte.fr cluster cluster8.iut-bm.univ-fcomte.fr cluster8 # The following lines are desirable for IPv6 capable hosts # (added automatically by netbase upgrade) ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts Nom court Nom complètement qualifié Adresse IP 82

83 Réseau complexe INTERNET / / / / / /

84 / eth0 eth1 lo Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (348.0 MiB) TX bytes: (7.8 MiB) Interrupt:11 Base address:0xb000 Link encap:ethernet HWaddr 00:50:BA:53:F3:97 inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:2 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions: txqueuelen:1000 RX bytes: (177.3 MiB) TX bytes: (2.4 GiB) Interrupt:10 Base address:0xc000 Link encap:local Loopback inet addr: Mask: UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:170 errors:0 dropped:0 overruns:0 frame:0 TX packets:170 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:20041 (19.5 KiB) TX bytes:20041 (19.5 KiB) 84

85 / Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UG eth U eth UG eth UG eth U eth UG eth UG eth0 85

86 / / eth0 eth1 eth2 Lien encap:ethernet HWaddr 00:80:C8:95:8C:73 inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:1 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes: (502.7 MiB) TX bytes: (12.1 MiB) Interruption:10 Adresse de base:0xd400 Lien encap:ethernet HWaddr 00:80:C8:94:A8:88 inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:39 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:55051 lg file transmission:1000 RX bytes: (9.0 MiB) TX bytes: (168.4 MiB) Interruption:12 Adresse de base:0xd800 Lien encap:ethernet HWaddr 00:80:C8:95:92:27 inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:29 dropped:0 overruns:0 frame:0 TX packets: errors:5 dropped:0 overruns:0 carrier:5 collisions: lg file transmission:1000 RX bytes: (14.6 MiB) TX bytes: (339.6 MiB) Interruption:7 Adresse de base:0xdc00 86

87 / / Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface UG eth U eth U eth U eth UG eth1 87

88 / eth0 eth1 Lien encap:ethernet HWaddr 00:50:BA:53:CD:30 inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:66 errors:0 dropped:0 overruns:0 frame:0 TX packets:84 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:6864 (6.7 KiB) TX bytes:7120 (6.9 KiB) Interruption:10 Adresse de base:0xdc00 Lien encap:ethernet HWaddr 00:50:BA:53:F6:9E inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:22 errors:0 dropped:0 overruns:0 frame:0 TX packets:22 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:1884 (1.8 KiB) TX bytes:1464 (1.4 KiB) Interruption:11 Adresse de base:0xe000 88

89 / Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface U eth U eth UG eth0 89

90 / eth0 eth1 Lien encap:ethernet HWaddr 00:50:BA:53:C6:8C inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:70 errors:0 dropped:0 overruns:0 frame:0 TX packets:58 errors:0 dropped:0 overruns:0 carrier:0 collisions:1 lg file transmission:1000 RX bytes:5684 (5.5 KiB) TX bytes:5388 (5.2 KiB) Interruption:10 Adresse de base:0xdc00 Lien encap:ethernet HWaddr 00:50:BA:21:A7:6B inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:266 errors:0 dropped:0 overruns:0 frame:0 TX packets:238 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:19620 (19.1 KiB) TX bytes:14488 (14.1 KiB) Interruption:11 Adresse de base:0xe000 90

91 / Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface U eth U eth UG eth1 91

92 eth0 Lien encap:ethernet HWaddr 00:50:BA:53:C6:8B inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:46415 errors:0 dropped:0 overruns:0 frame:0 TX packets:12205 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes: (2.7 MiB) TX bytes: (1.2 MiB) Interruption:11 Adresse de base:0xec00 Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface U eth UG eth0 92

93 eth0 Lien encap:ethernet HWaddr 00:50:BA:21:A0:FD inet adr: Bcast: Masque: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:15 errors:0 dropped:0 overruns:0 frame:0 TX packets:14 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:1968 (1.9 KiB) TX bytes:1704 (1.6 KiB) Interruption:10 Adresse de base:0xdc00 Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface U eth UG eth0 93

94 Résolutions d'adresses 94

95 Adresse internet vers adresse physique(mac) : protocole ARP, réalisée au moment ou le datagramme est envoyé sur le réseau Adresse physique vers adresse internet : quand une machine ne peut mémoriser son adresse internet (pas de disque ou pas de mémoire permanente) RARP Adresse symbolique vers adresse internet ou l'inverse :réalisée le plus rapidement possible à l'aide du service de nom DNS Les adresses symboliques ne sont utilisées que par les utilisateurs comme paramètres des commandes 95

96 ARP: adresse internet vers éthernet Gestion dynamique, une adresse est résolue lorsque cela est nécessaire c'est à dire lorsqu'une trame à destination de cette adresse doit être réalisée La machine émettrice envoie une requête ARP contenant l'adresse à traduire en utilisant l'adresse de diffusion réseau. Une seule machine reconnaît son adresse IP et renvoie son adresse ethernet dans la réponse. Les associations IP-Ethernet sont conservées par toutes les machines dans un cache (commande arp) 96

97 RARP : physique vers internet Lorqu'une machine ne dispose d'aucune mémoire permanente il est impossible d'enregistrer son adresse internet de façon permanente A l'allumage la machine doit déterminer quelle est l'adresse internet associée à son adresse physique Envoi d'une requète RARP contenant son adresse éthernet Cette requète est traitée par un serveur RARP qui retourne l'adresse internet associée Une requète RARP peut être utilisée par toute machine désirant résoudre une adresse éthernet 97

98 DNS: service de nom Service permettant de transformer une adresse symbolique en une adresse IP ou l'inverse Obligatoire si l'on veut pouvoir accéder à INTERNET facilement Utilise éventuellement le fichier /etc/hosts en complément Fichiers concernés: libc.so : contenant les fonctions de résolution de noms (resolver) /etc/resolv.conf /etc/nsswitch.conf ou /etc/hosts.conf 98

99 DNS Basé sur la notion de domaine Structure arborescente : racine :. niveau 1 : pays ou catégories : fr, de, edu, biz une feuille est une machine Les 13 serveurs du domaine «.» détiennent l'information pour un domaine donné On commence toujours à. puis on descend Récursif Mise en cache des résultats pour accélérer les recherches ultérieures (durée = TTL donné par le DNS) 99

100 ; This file is made available by InterNIC ; under anonymous FTP as ; file /domain/named.root ; on server FTP.INTERNIC.NET ; -OR- RS.INTERNIC.NET ; last update: Jan 29, 2004 ; formerly NS.INTERNIC.NET IN NS A.ROOT- SERVERS.NET. A.ROOT-SERVERS.NET A ; formerly NS1.ISI.EDU NS B.ROOT- SERVERS.NET. B.ROOT-SERVERS.NET A ; formerly C.PSI.NET NS C.ROOT- SERVERS.NET. C.ROOT-SERVERS.NET A ; formerly TERP.UMD.EDU NS D.ROOT- SERVERS.NET. D.ROOT-SERVERS.NET A ; formerly NS.NASA.GOV NS E.ROOT- SERVERS.NET. E.ROOT-SERVERS.NET A ; formerly NS.ISC.ORG NS F.ROOT- SERVERS.NET. F.ROOT-SERVERS.NET A ; formerly NS.NIC.DDN.MIL NS G.ROOT- SERVERS.NET. G.ROOT-SERVERS.NET A ; formerly AOS.ARL.ARMY.MIL NS H.ROOT- SERVERS.NET. H.ROOT-SERVERS.NET A NS I.ROOT- SERVERS.NET. ; Serveurs de NS G.ROOT- SERVERS.NET. G.ROOT-SERVERS.NET A ; ; formerly AOS.ARL.ARMY.MIL ; NS H.ROOT- SERVERS.NET. H.ROOT-SERVERS.NET A ; ; formerly NIC.NORDU.NET ; NS I.ROOT- SERVERS.NET. I.ROOT-SERVERS.NET A ; ; operated by VeriSign, Inc. ; NS J.ROOT- SERVERS.NET. J.ROOT-SERVERS.NET A ; ; operated by RIPE NCC ; NS K.ROOT- SERVERS.NET. K.ROOT-SERVERS.NET A ; ; operated by ICANN ; NS L.ROOT- SERVERS.NET. L.ROOT-SERVERS.NET A ; ; operated by WIDE NS M.ROOT-

101 Principes du DNS Requête : htpp:// DNS de. DNS de fr DNS fr? adresse IP du DNS fr DNS cru.fr.? IP du DNS de cru.fr DNS de cru.fr DNS local IP de IP de Requète HTTP Page HTML 101

102 /etc/resolv.conf #La suite des domaines à ajouter aux noms non complètement qualifié search iut-bm.univ-fcomte.fr. pu-pm.univ-fcomte.fr. univ-fcomte.fr. #Le nom du domaine si absent le nom est déterminé par la fonction gethostname() #domain iut-bm.univ-fcomte.fr. #La liste des serveurs de noms à consulter dans l'ordre nameserver nameserver lignes nameserver maximum search ou domain, pas les deux la dernière lue est seule prise en compte 102

103 /etc/nsswitch.conf # /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: group: shadow: compat compat compat #L'ordre de résolution des noms: /etc/hosts puis le serveur de noms hosts: files dns networks: files protocols: services: ethers: rpc: netgroup: db files db files db files db files nis 103

104 hosts.conf Détermine l'ordre de consultation des sources hosts, dns,nis multi demande la réception de l'ensemble des adresses pour un nom donné reorder demande le tri des adresses obtenues en fonction des adresses locales D'autres directives sont utilisables Exemple : order hosts,bind multi on 104

105 Le super démon : inetd 105

106 inetd permet de centraliser le lancement des serveurs inetd écoute l'ensemble des ports alloués aux différents serveurs lorsqu'un client se connecte à un port inetd lance le service concerné : fork + exec long mais permet une meilleure gestion de la mémoire lorsque les services sont peu fréquemment utilisés si le service est très utilisé il vaut mieux le lancer en mode autonome: programme dans /etc/rc* xinetd est un super-démon securisé 106

107 /etc/inetd.conf # /etc/inetd.conf: see inetd(8) for further informations. # Internet server configuration database # Lines starting with "#:LABEL:" or "#<off>#" should not # be changed unless you know what you are doing! # If you want to disable an entry so it isn't touched during # package updates just comment it out with a single '#' character. # Packages should modify this file by using update-inetd(8) # <service_name> <sock_type> <proto> <flags> <user> <server_path> <args> #:INTERNAL: Internal services #echo stream tcp nowait root internal #echo dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal discard stream tcp nowait root internal discard dgram udp wait root internal daytime stream tcp nowait root internal #daytime dgram udp wait root internal time stream tcp nowait root internal #time dgram udp wait root internal #:STANDARD: These are standard services. ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/proftpd #:BSD: Shell, login, exec and talk are BSD protocols. #:MAIL: Mail, news and uucp services. smtp stream tcp nowait mail /usr/sbin/exim exim -bs #:INFO: Info services ident stream tcp wait identd /usr/sbin/identd identd #:BOOT: Tftp service is provided primarily for booting. Most sites # run this only on machines acting as "boot servers." #:RPC: RPC based services #:HAM-RADIO: amateur-radio services #:OTHER: Other services 107

108 la configuration d'un service dans inetd om du service: le port est déterminé à partir de /etc/services ftp 21/tcp type de la socket: stream/dgram protocole utilisé par le service: tcp/udp ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/proftpd attente ou non de la fin argument du programme le vrai démon ftpd identificateur du propriétaire programme à lancer: ici tcpd(tcp-wrapper) permettant de créer des régles d'accès aux services avec /etc/hosts.deny et /etc/hosts.allow 108

109 Serveur DHCP 109

110 Principe général Le service dhcp fonctionne selon le modèle Client/Serveur Sur une des machines du réseau fonctionne un serveur dhcp écoutant une ou plusieurs interfaces réseaux pour y détecter les requêtes d'attribution d'adresse Une machine cliente initialise son interface en exécutant un programme dhcp client qui tente de contacter un serveur fonctionnant sur le réseau. 110

111 Attribue des adresses aux machines lui envoyant une requète DHCP La requète cliente contient comme adresse de destination car l'émetteur ne connaît ni l'adresse du réseau ni l'adresse du serveur La réponse, si positive, contient l'adresse attribuée et éventuellement le nom du domaine, l'adresse de la passerelle, les adresses des serveurs de nom... Le serveur utilise l'adresse éthernet du demandeur lors de la réponse L'attribution peut-être sécurisée ou non sur les adresses éthernet par exemple L'allocation dans un ensemble d'adresses est quasi abandonnée par souci de sécurité 111

112 Exemple simple de fichier de configuration La première ligne fixe la durée d'allocation à 3600 secondes. Le serveur alloue des adresses dans le réseau /24 : subnet netmask Les adresses allouées sont dans la plage : range ; Les options suivantes permettent de définir le nom du domaine, les adresses du serveur de nom et de la passerelle par défaut 112

113 Remarques Les fichiers de configuration des serveurs dhcp dépendent du serveur dhcp ils ne sont pas tous identiques. Lorsque le serveur dhcp est lancé une erreur quelconque dans le fichier de configuration provoque l'arrêt du serveur et le service n'est pas disponible Suivant la version de serveur utilisée les fonctionnalités et les informations qui peuvent être envoyées aux clients varient 113

114 Le fichier de configuration # set lease time to one hour default-lease-time 3600; subnet netmask { range ; option domain-name "tpreseau.org"; option domain-name-servers , ; option routers ; } 114

115 Exemple complexe utilisant la translation d'adresse et plusieurs réseaux sur le même support physique 115

116 Schéma du réseau Internet Passerelle Commutateur /27 IP publique / /24 DHCP, NAT IP publique Requête DHCP Portable Réponse DHCP: X/24 Passerelle : /24 116

117 # Fichier de configuration du serveur DHCP # The ddns-updates-style parameter controls whether or not the server will # attempt to do a DNS update when a lease is confirmed. ddns-update-style none; # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. authoritative; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; shared-network and { option domain-name "iut-bm.univ-fcomte.fr"; option domain-name-servers , ; max-lease-time 3600; default-lease-time 3600; } ## Adresses prives allouées dynamiquement ## pool { max-lease-time 1800; default-lease-time 1800; range ; } 117

118 ###--- adresses publiques ---# host jarret { # portable J hardware ethernet 08:00:46:EB:63:30; fixed-address ; } host pearljam { # portable D hardware ethernet 00:17:f2:ea:59:61; fixed-address ; } host hp960c { # imprimante couleur hardware ethernet 00:01:E6:46:48:BB; fixed-address ; } host etherj { # mac gigabits hardware ethernet 00:16:cb:97:4a:b0; fixed-address ; } host wifij { # mac wifi hardware ethernet 00:17:F2:44:15:3E; fixed-address ; } 118

119 NFS : Network File System Permet le montage d'arborescences distantes dans les sytèmes de fichier locaux Fonctionne suivant le principe Client/Serveur Basé sur les RPC et le protocole UDP Le serveur exporte tout ou partie d'un système de fichiers Le client monte cette arborescence dans un répertoire local Le serveur est sans état, pas de mémoire de ses clients 119

120 Deux serveurs possible: NFS : partie serveur serveur fonctionnant en mode noyau nécessitant une option de configuration du noyau et potentiellement plus problématique du point de vue sécurité (nfskernel-server) serveur fonctionnant en mode utilisateur de ce fait plus sécurisé (nfs-user-server) /etc/exports : donne la liste des répertoires, les droits et les machines autorisées à faire le montage Nombreuses options concernant les protocoles, la sécurité, le traitement des erreurs 120

121 Exemple de fichier d'export /home accessible à toutes les machines du réseau /27 /home accessible à la seule machine /home accessible à toutes les machines du réseau /24 /home/home1 accessible à la seule machine /home / (rw,no_root_squa sh,sync,no_subtree_check) /home / (rw,no_root_squa sh,sync,no_subtree_check) /home / (rw,no_root_squash,s ync,no_subtree_check) /home/home / (rw,root_squash,s ync,no_subtree_check) 121

122 Quelques options du fichier d'export rw : accessible en lecture/écriture, attention aux fichiers de configuration no_root_squash une opération exécutée par une machine distante conserve le propriétaire root TRES DANGEUREUX root_squash : à utiliser le plus souvent possible anonuid, anongid : identificateurs à utiliser lors des opérations effectuées par root 122

123 NFS : client Il effectue simplement un montage Syntaxe : mount serveur:repertoire_exporté répertoire_local Attention aux conditions du montage, NFS est une source importante de problèmes de sécurité Fichiers spéciaux /dev (nodev) Exécutable (noexec) Comme tout montage l'arborescence de racine point de montage devient inaccessible 123

124 Exemple :/home /home nfs defaults 0 0 nfs1:/nfs/nfs-info /nfs1/nfs-info nfs users,rw,noauto,bg,rsize=8192,wsize= nfs1:/nfs/web-etu /nfs1/web nfs users,rw,noauto,bg,rsize=8192,wsize=

125 Le courrier électronique smtp stream tcp nowait mail /usr/sbin/exim exim -bs 125

126 Analyse du trafic réseau Utiliser pour déboguer des problèmes de fonctionnement Localiser l'origine d'un trafic illicite Outils disponibles: tcpdump ethereal wireshark Fonctionnement en deux temps : acquisition puis analyse des trames enregistrées Nécessité d'être le super-utilisateur pour utiliser ces outils 126

127 tcpdump : enregistrement et analyse d'une requète dhcp techno1:~# tcpdump -i eth1 -w /tmp/dhcp.trace tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 50 packets captured 50 packets received by filter 0 packets dropped by kernel techno1:~# tcpdump -r /tmp/dhcp.trace 16:24: IP bootpc > bootps: BOOTP/DHCP, Request from 00:80:c8:94:a5:79, length: :24: IP bootps > bootpc: BOOTP/DHCP, Reply, length:

128 ethereal-wireshark 128

129 ethereal : analyse 129

130 Ethereal : capture avec sélection 130