LABO GNU LINUX: Auteur : Magali CALO, Julien LEBRUN, Kenneth BAAMI, Farid LOUBANN, Jabran ABOUMEROUANE, SALANDRE Grady

Transcription

1 LABO GNU LINUX: Auteur : Magali CALO, Julien LEBRUN, Kenneth BAAMI, Farid LOUBANN, Jabran ABOUMEROUANE, SALANDRE Grady

2 2 Table des matières 1) INFRASTUCTURE DU RESEAU PHYSIQUE:...4 2) MAPAGE GOULOTTE/PANEL :...5 3) SWITCHING :...6 4) INFRASTUCTURE DU RESEAU LOGIQUE: ) TABLEAU IP ) BLADECENTER:...13 UTILISATION DU BLADECENTER:...15 INSTALATION DE 3 SERVEURS SUR LE BLADECENTER :...16 Prérequis : ) NAS: ) INSTALLATION DES SERVEURS XEN :...24 Prérequis :...24 Installation de xenserver 5.6 :...24 Installation de xencenter...28 Configuration de xenserver avec Xencenter ) FIREWALL PROXY :...37 I) Installation des debians II) Firewall ) configuration de l interface ) configuration du resolv.conf...45 III) Routage...60 IV) Proxy ) Autre danger : les proxys transparents ) Openvpn...72 Toute petite introduction à OpenVPN...72 Installation du serveur OpenVPN...72 Configuration du serveur OpenVPN...72 Création du certificat et de la clé pour le serveur OpenVPN...73 Création du certificat et de la clé pour un client OpenVPN...74 Création du paramètre Diffie Hellman...75 Mise en place des certificats et des clés...75 Configuration d OpenVPN...75 Démarrage du serveur OpenVPN...76 Configuration du fichier client.conf: ) INSTALLATION DU DOMAINE TFTIC.LOCAL :...78 INSTALATION DE 2 SERVEURS DOMAIN CONTROLEUR : ) FILESERVER INTEGRE A L AD :...80 INSTALATION DES SERVEURS DE FICHIERS : ) Mysql server (debian) ) Webserver (apache2) ) Joomla (suite apache2) ) MAILSERVER...87 NSTALLATION AND CONFIGURATION...87 The Postfix MTA...90 The World Wide Web and Electronic Mail...91 A word about DNS...91

3 3 Installing Postfix...92 The World Wide Web and Electronic Mail...93 The easy way to send to different user from mail server:...93 The World Wide Web and Electronic Mail...97 Postfix configuration...99 Starting Postfix The World Wide Web and Electronic Mail ) NAGIOS : ) Asterisk Installation et configuration Introduction Asterisk, c est quoi? Les fonctionnalités et caractéristiques d Asterisk Maison mère Plan du site Prérequis Installation Configuration Succursale Plan du site Prérequis Installation Configuration ANNEXE : PV...129

4 Auteur : Kenneth BAAMI, Grady SALANDRE 1) INFRASTUCTURE DU RESEAU PHYSIQUE:

5 2) MAPAGE GOULOTTE/PANEL : N PG SW2 lan SW1 mngt SW1 mngt portable SW4- lans 1 Panel n 113 Panel n 114 Panel n 115 Panel n 116 Switch port 19 Switch port 6 Switch port 12 Switch port 6 2 Panel n 117 Panel n 118 Panel n 119 Panel n 120 Switch port 20 Switch port 7 Switch port 13 Switch port 7 3 Panel n 121 Panel n 122 Panel n 123 Panel n 124 Switch port 21 Switch port 8 Switch port 14 Switch port 8 4 Panel n 125 Panel n 126 Panel n 127 Panel n 128 Switch port 22 Switch port (9) 18 Switch port 15 Switch port 9 5 Panel n 129 Panel n 130 Panel n 131 Panel n 132 Switch port 23 Switch port 10 Switch port 16 Switch port 10 6 Panel n 133 Panel n 134 Panel n 135 Panel n 136 Switch port 24 Switch port 11 Switch port 17 Switch port 11 Auteur : Lebrun Julien

6 6 3) SWITCHING :

7 7

8 8

9 9

10 Auteur : Magali CALO 4) INFRASTUCTURE DU RESEAU LOGIQUE:

11 Auteur : Magali CALO

12 12 5) TABLEAU IP Maison Mère Magali Noms machines Adresses IP X FW Template (Debian) NAS srv Xen ILO Xen Mail Relay Xen Asterisk Web Server ILO Xen Printers de Xen à Accounting Xen Prod Sales Xen Database srv Licences srv Documentary Active Directory Ranges DHCP de Mail srv à de File srv à Sucursalle Proxy Noms machines Adresses IP FW Nagios Phones de Active Directory à File srv WS Asterisk WS Printers de WS à WS Workstations de WS à Julien Phones de Grady à Ken

13 13 6) BLADECENTER:

14 14

15 15 UTILISATION DU BLADECENTER: Auteur : Magali CALO, Julien LEBRUN, Kenneth BAAMI, Farid LOUBANN, Jabran ABOUMEROUANE, SALANDRE Grady

16 16 INSTALATION DE 3 SERVEURS SUR LE BLADECENTER : Prérequis : Nous allons installer deux serveur Xenserver de nos quatre serveurs du site central et un serveur Ubuntu pour gérer le NAS. Notre BladeCenter est composé de 3 lame et d un storage. 1. Préparation des serveurs avec ILO : Pour cela, il faut lancer un explorateur Internet (Internet Explorer) et entrer dans la barre des tâches l adresse de gestion (ilo est enregistrer dans le serveur DNS). 2. Configuration de ILO : Afin de pouvoir installer nos serveurs, nous devons configurer ILO, pour utiliser notre serveur SAN, ainsi que monter les cd-rom sur les lames (voici quelques printscreen de l interface de ILO).

17 17

18 18

19 19

20 20

21 21 3. Installation des serveurs : Dés que ILO est configurer, nous pouvons commencer l installation de nos serveurs sur la console d administration du BladeCenter.

22 22 7) NAS: Caution ***Toute les config sont en mode root*** Premierement nettoyer la table des partitions pour mettre en place notre ou nos lun (logical unit number) à l aide de la commande : fdisk /dev/cciss/c0d0 (c0d0 et variable celon votre installation) Une fois dans le menu, une aide est présente pour expliquer quels boutons du clavier sert à quoi, nous allons utiliser pour notre exemple que quelques unes : p ( pour print) d [numero de partition] ( pour supprimer la partition selectionné ) w (pour écrire la table et quitter ) installer iscsitarget : apt-get install iscsitarget (tout simplement!) taper la commande : modprobe iscsi_trgt (pour charger le module dans le noyau) modifier le fichier de configuration de iscsitarget : Vim /etc/iet/ietd.conf Ajouter les lignes suivantes à la fin du fichier : Target iqn local.tftic:ubuntu incominguser [nom du user] [mot de passe] outgoinguser [user] [mot de passe] Lun 0 PATH=/dev/cciss/c0d0,type=fileio :x Redemarer le service : service iscsitarget restart juste pour verifier que le service et bien en marche : netstat lntp Auteur : Jabran ABOUMEROUANE

23 23 CITRIX - XENSERVER : Auteur : SALANDRE Grady

24 24 8) INSTALLATION DES SERVEURS XEN : Prérequis : Installation de Xenserver sur les 5 serveurs de virtualisation. Les 4 premiers serveurs seront le site principal de production et le 5éme serveur est sur le site de la succursale. Les deux sites sont interconnectés via un VPN qui fonctionne en SSL. Les 4 serveurs doivent avoir le même type de matériel, même nombre de carte réseau (pour implémenté la haute disponibilité il est indispensable d avoir des machine de même type). Pour installer la version 5.6 de XenServer, il faut absolument une architecture de processeur de 64 bits et avoir un maximum de ram. Afin de pouvoir profiter du clustering et de la haute disponibilité, il est nécessaire d avoir des serveurs qui ont la même architecture. Installation de xenserver 5.6 : Pour installer xenserver, il faut paramétrer les serveurs pour qu ils démarrent sur le cdrom (boot cd-rom), dès qu il démarre sélectionner l installation standard.

25 25 Veuillez accepter le contrat de licence de xenserver (voir printscreen ci-dessous). Sélectionner la source d installation, sélectionner Local media pour faire l installation à partir du cd-rom.

26 26 Vous pouvez installer les packs supplémentaires (pack linux) qui sont sur le cd-rom 2, pour pouvoir utiliser les serveurs LINUX avec de la haute disponibilité, ce qui permet de démarrer sur le serveur ayant le plus de ressources disponible. Vous devez, créer le mot de passe ROOT, configurer l interface réseau de managment, entrer les paramètres régionaux, configurer les serveurs NTP, ensuite vous pouvez lancer l installation

27 27 L installation de Xenserver commence. A la fin de l installation, le cd-rom est éjecté et vous devez redémarrer le système.

28 28 XenServer démarre : Installation de xencenter Pour télécharger Xencenter, vous devez lancer un navigateur Web à partir de Windows, et taper l adresse IP d un des Xenservers dans la barre d adresse et ensuite cliquer sur le lien XenCenter installer et faite une installation par défaut.

29 29 Configuration de xenserver avec Xencenter Au premier lancement de l application, il faut ajouter chaque serveur en entrant son adresse IP et son login et password. Pour utiliser un stockage externe aux servers, vous devez ajouter les nouveaux storages, en cliquant sur l onglet New Storage, nous allons connecter les partages ISO se trouvant sur une station de travail. Vous devez entrer un nom de partage, le nom de la machine Host (avec l adresse IP ou le nom DNS), le login et le password et cliquer sur Finish.

30 30 Maintenant, nous allons le connecter sur un disque ISCSI hébergé sur une machine Ubuntu Server, afin de stocker les machines virtuelles. Vous devez entrer un nom de partage, le nom de la machine Host (avec l adresse IP ou le nom DNS), le login et le password et cliquer sur Discover IQNs, après quelques instant d attente vous pouvez cliquer sur Discover LUNs et pour terminer sur Finish. Configuration des interfaces réseaux, dans l onglet Network de chaque serveur, vous devez assigner un nom pour chaque interface réseau (entrer le même nom d interface sur chaque serveur). Création d un Pool avec les quatre serveurs Xen, sélectionner tous les serveurs qui vont faire partie du Pool.

31 31 Afin de pouvoir bénéficier de la haute disponibilité et des options spécifiques à la version Platinium, il faut installer un server de licence, qui est téléchargeable sur le site de Citrix. Le serveur de licence est un machine virtuel (Windows 2008 R2), qui devra toujours tourner afin que les différents serveurs Xen puissent si connecter pour vérifier les licences en temps réel. Dès que la machine virtuel est configurée, vous pouvez enregistrer vos licences, en cliquant sur l onglet Tools et puis License Manager, vous devez sélectionner les serveurs et cliquer sur Assign License, ensuite vous pouvez choisir le type de licence, nous choisirons Citrix XenServer Platinium Edition et cliquer sur OK. Création d une machine virtuelle qui va servir de Template, quand l installation sera optimale. Sélectionner Other install media, pour pouvoir faire l installation du nouveau système.

32 32 Afin de bénéficier de la haute disponibilité, vous devez choisir la première option qui va démarrer la VM sur le serveur qui a le plus de ressource disponible. Vous pouvez spécifier le nombre de processeur et la quantité de mémoire vive que vous souhaitez utiliser.

33 33 Création du disque virtuel, cliquer sur Add et entrer un nom pour le disque et la taille souhaitée. Sélectionner les interfaces réseaux que la machine virtuelle va utiliser, l ordre des cartes est important (sous Linux, elles commenceront par eth0 et ainsi de suite).

34 34 Vous pouvez cliquer sur Finish, la VM va être créée et démarra juste après, il ne vous reste plus qu à installer le système. Quand vous avez finalisé l installation de votre VM, vous pouvez la convertir en Template, faite un clic droit sur la VM et choisir Template.

35 35 Il est conseiller de faire un cliché instantané de votre système, afin de pouvoir revenir en arrière si vous avez un problème, pour cela vous devez faire un Snapshot de votre système, pour cela faite un clic droit sur la machine virtuel et sélectionner Take Snapshot Il est également possible d exporter votre machine virtuel e, pour cela faite un clic Maintenant vous pouvez importer votre machine virtuel e, pour cela faite un clic droit sur le pool et sélectionner import.

36 36

37 37 9) FIREWALL PROXY : I) Installation des debians Debian (/de.bjan/) est une organisation communautaire et démocratique, dont le but est le développement d'un système d'exploitation basé exclusivement sur des logiciels libres. Ce système, lui-même nommé Debian, permet un mode d'unification de nombreux éléments pouvant être développés indépendamment les uns des autres, pour plusieurs architectures matérielles et relativement à plusieurs noyaux logiciels. Ces logiciels sont associés sous forme de «paquets» modulables en fonction des choix et des besoins (lire ci-après le paragraphe Distribution des logiciels). On l'assimile généralement à sa version Debian GNU/Linux (la distribution GNU/Linux de Debian), car jusqu'en 2009 c'est la seule branche parfaitement fonctionnelle, mais d'autres versions du système Debian sont en développement : Debian GNU/Hurd [1] [ 2] ou Debian GNU/kFreeBSD [3] (dont les premières versions stables sont prévues avec la version «Squeeze» [4] ). Debian est utilisée comme base de nombreuses autres distributions comme Knoppix ou Ubuntu qui rencontrent un grand succès. Fin 2005, la version originale a été retenue comme système d'exploitation Linux pour équiper le matériel informatique de la ville de Munich, soit près de PC [5]. II) Firewall C'est quoi un firewall? Comment ça marche? (Note: Je ne vais parler ici que des firewalls basés sur TCP/IP, le protocole d'internet.)

38 38 Un firewall - littéralement "mur de feu" - est un ordinateur (et un programme) qui filtre ce qui passe d'un réseau à un autre. On s'en sert pour sécuriser les réseaux et les ordinateurs, c'est-à-dire contrôler les accès et bloquer ce qui est interdit. Souvent, on utilise un firewall pour protéger un réseau local du réseau internet: Typiquement, il va: autoriser les ordinateurs du réseau local à se connecter à internet. bloquer les tentatives de connexion d'internet vers les ordinateurs du réseau local. Firewall matériel, firewall logiciel On entend parfois parler de firewalls matériels. Ils sont sous la forme de boîtiers compacts. En réalité, se sont de simples ordinateurs possédant leur propre système d'exploitation et leur propre logiciel firewall. Mais ils n'ont rien de différent d'un simple firewall installé sur un ordinateur. Le seul avantage des firewalls "matériels" est qu'ils sont moins encombrants qu'un ordinateur. Mais ils coûtent généralement cher. Quelques firewalls "matériels" Firewall et couches OSI La plupart des firewalls travaillent au niveau des couches 4 (TCP, UDP...), 3 (IP...) et 2 (Ethernet...). Ils ne comprennent rien aux protocoles au dessus (ils sont incapables de filtrer HTTP, SMTP, POP3...). Certains firewalls sont capables de travailler au niveau de la couche 7 (applicative). Ils sont généralement plus lents, plus lourds et plus complexes à configurer mais permettent de filtrer

39 39 certains protocoles comme HTTP, SMTP, POP3, FTP... Par exemple, c'est utile pour bloquer le téléchargement de virus, interdire certains sites, filtrer les cookies... (Pour plus d'informations sur le modèle OSI, voir ) Comment ça marche un firewall? Un firewall, c'est une liste ordonnée de la forme: (règle 1, action 1) (règle 2, action 2) (règle 3, action 3) etc. Chaque fois qu'un paquet de données arrive, le firewall compare ce paquet à chaque règle (dans l'ordre) jusqu'à en trouver une qui corresponde au paquet. Il exécute alors l'action correspondante à la règle. Les règles peuvent être: adresse destination du paquet, adresse source, port destination, port source, date, heure, etc. Les actions peuvent être: refuser le paquet, ignorer le paquet, accepter le paquet, transmettre le paquet sur un autre réseau, modifier les entêtes du paquet... Firewalls "personnels" Il y a quelques temps, un nouveau type de firewall est apparu: les firewalls dits "personnels". Ils sont destinés aux particuliers qui n'ont pas les moyens d'acheter un ordinateur séparé uniquement pour faire un firewall. Au lieu d'être une machine séparée, le firewall personnel est un logiciel qui fonctionne directement sur l'ordinateur à protéger. Il a quelques inconvénients: Si un hacker parvient à s'introduire sur l'ordinateur, il pourra facilement désactiver le firewall (C'est beaucoup plus difficile quand le firewall est un ordinateur séparé) Comme il fonctionne en même temps que les autres logiciels, il ralentit légèrement l'ordinateur. Mais il a aussi un avantage: Le firewall personnel est capable de contrôler quels logiciels vont se connecter sur Internet (ce que ne sait pas faire un firewall séparé). Parmi les firewalls "personnels", citons: Kerio Personal Firewall, Sygate Personal Firewall, ZoneAlarm, Agnitum Outpost, Look'n Stop... (La plupart de ces firewalls sont gratuits pour une utilisation non-professionnelle: profitez-en!) On peut parfaitement imaginer d'avoir les 2 types de firewalls en même temps: un firewall séparé pour protéger le réseau, et un firewall personnel pour protéger chaque ordinateur. Comment on ferme un port ouvert? (Pour comprendre ce que sont les ports, je vous recommande de lire d'abord le chapitre sur TCP/IP: ) Un port ne s'ouvre jamais tout seul. C'est toujours un logiciel précis qui ouvre un port. Fermer un port, c'est donc fermer le logiciel qui a ouvert ce port.

40 40 (Si vous ne pouvez/voulez pas fermer ce logiciel, il vous reste alors à installer un firewall personnel qui bloquera les tentatives de connexion à ce port. Nous verrons cela plus loin.) Prenons un exemple: Comme vous le voyez, sur cet ordinateur il y a 3 logiciels en mémoire: Le navigateur utilise 4 ports, connectés à un serveur web externe, pour aller chercher des pages HTML et des images. Ces ports sont ouverts en mode client: ils ne reçoivent pas de connexion, mais sont connectés à l'extérieur pour échanger des données. Le traitement de texte n'a aucun besoin d'aller sur internet: il n'a ouvert aucun port. Le logiciel de chat a ouvert le port 2074 en mode serveur: Il attend des connexions venant de l'extérieur (par exemple quelqu'un sur internet qui voudrait discuter avec vous). Si quelqu'un sur internet essaie de se connecter sur votre ordinateur: sur le port 2068: Sans effet. La connexion sera rejetée, puisque ce port est déjà utilisé par le navigateur, et il n'est pas ouvert en écoute. sur le port 7777: Sans effet. La connexion sera rejetée, puisque ce port n'est même pas ouvert sur l'ordinateur. sur le port 2074: La connexion est établie. Le logiciel de chat pourra recevoir des commandes, auxquelles il pourra décider de répondre ou non. Donc pour fermer le port 2074, il suffit de fermer le logiciel de chat. Dans 99% des cas, le danger sur internet vient des bugs ou de la mauvaise configuration des logiciels qui se mettent en écoute sur un port. (ici: le logiciel de chat). Il est donc très important: de ne pas lancer n'importe quel logiciel sur votre ordinateur, de bien choisir quel logiciel utiliser pour une tâche donnée, de bien configurer ce logiciel, de suivre l'actualité en matière de sécurité et donc: de mettre régulièrement à jour vos logiciels et votre système d'exploitation, de fermer tous les logiciels dont vous n'avez pas besoin, et de vérifier que les logiciels que vous avez choisis ne font pas de choses étranges (par exemple, un traitement de texte n'a aucune raison d'aller sur internet). Comment savoir quels ports son ouverts sur mon ordinateur? Ouvrez une fenêtre MS-Dos (ou un terminal Unix) et tapez la commande: netstat -a

41 41 Vous verrez la liste des ports ouverts. Les ports ouverts en mode serveur (en écoute) sont notés "LISTENING". Active Connections Proto Local Address Foreign Address State TCP votreordinateur:2067 serveurweb:80 ESTABLISHED TCP votreordinateur:2068 serveurweb:80 ESTABLISHED TCP votreordinateur:3014 serveurweb:80 ESTABLISHED TCP votreordinateur:3117 serveurweb:80 ESTABLISHED TCP votreordinateur: :0 LISTENING Et pour savoir quel logiciel a ouvert tel ou tel port: sous Unix/Linux, tapez: sudo netstat -apet sous Windows, il vous faut un programme supplémentaire: o TCPView (freeware, pour NT/2000/XP uniquement): iew.mspx o OpenPorts (freeware, pour NT/2000/XP uniquement): o CurrPorts (freeware, pour 2000/XP uniquement): o la plupart des firewalls personnels (comme Kerio Personal Firewall) sont également capable d'afficher ces informations (également sous 95/98/ME). Il vous suffira alors d'arrêter le programme en question (avec le gestionnaire de tâches), de l'empêcher de démarrer au démarrage de Windows (avec un programme comme AutoStart Manager) et éventuellement supprimer le programme en question. Comment fonctionne le firewall personnel? Il va se placer entre les logiciels et le réseau, et intercepter tout ce qui passe, aussi bien en entrée qu'en sortie. Ainsi le firewall personnel va intercepter la tentative de connexion au logiciel de chat (port 2074). Si le firewall possède une règle qui interdit cela, la connexion sera rejetée, et le logiciel de chat ne verra même pas la tentative de connexion. En établissant vos propres règles, vous pourrez décider quels logiciels pourront se connecter sur internet ou recevoir des connexions, et de qui.

42 42 Ainsi, même si vous n'arrivez pas à fermer certains ports, vous pourrez établir des règles pour interdire les connexions sur ces ports. Mais il vaut bien mieux fermer les logiciels qui ouvrent ces ports. C'est plus sûr que de bloquer les connexions vers ces ports. (Il vaut mieux avoir une bassine en bon état plutôt qu'une passoire dont on essaie de boucher tous les trous ;-) Et pour établir la liste de règles de votre firewall, il y a une règle à suivre: Tout est interdit, sauf ce qui est strictement nécessaire. Donc, ne vous posez plus la question "Quels ports fermer?". La réponse est évidente: tous! La plupart des firewalls personnels ont un mode "apprentissage" où ils vous affichent des messages d'alerte et vous demandent quoi faire. Cela permet d'établir progressivement un ensemble de règles pour vos logiciels courants. (Vous donnez des autorisations à vos logiciels au cas par cas, et le firewall s'en souvient.) Quelques exemples: votre navigateur pourra se connecter où il veut sur les ports 80 (HTTP) et 443 (HTTPS). votre logiciel d' ne doit se connecter que sur le serveur de mail de votre fournisseur d'accès (par exemple: smtp.free.fr sur le port 25 et pop.free.fr sur le port 110). Tout le reste lui est interdit. votre antivirus peut se connecter uniquement au site de l'éditeur pour se mettre à jour. Votre logiciel de FTP peut se connecter où il veut, mais uniquement sur le port 21. Il peut recevoir des connexions sur le port 20. votre jeu en réseau à recevoir des connexion sur le port qui lui est dédié, et aller se connecter sur le serveur central de jeu. etc. (Ce ne sont que quelques exemples.) Par la suite, il suffit de désactiver ce mode apprentissage pour ne plus voir les fenêtres d'alerte et travailler en sérénité. Un firewall n'est pas une arme absolue!!!! Ne pensez pas que votre ordinateur est protégé à 100% parce que vous avez un firewall fiable et bien configuré. Certains chevaux de Troie sont capables de désactiver les firewalls personnels, ou même se faire passer pour votre navigateur pour aller sur Internet sans que le firewall ne s'en aperçoive. Même avec un firewall "matériel", il est possible de tunneller du trafic TCP/IP chiffré dans de simples requêtes HTTP. Pour parler plus simplement, ça permet de percer des trous gigantesques dans le plus blindé des firewalls. (Pour les détails techniques, voici ici: Bref, vous le voyez, la sécurité n'est jamais assurée à 100%. Alors le firewall est inutile? Sûrement pas! Il est absolument indispensable à partir du moment vous allez sur internet. C'est un peu comme la ceinture de sécurité: ça n'empêche pas d'avoir des accidents, mais dans la majorité des cas, ça sauve des vies! Internet est un repaire de pirate Non. Internet regorge de personnes sympathiques et pleines de bonne volonté. Je suis sincère, croyez-moi, j'en rencontre tous les jours. Mais il y a des cons partout. Et internet n'échappe pas à la règle. Il est donc nécessaire de se protéger contre cet infime pourcentage de connards et les firewalls les arrêteront dans 99% des cas. Mon firewall personnel dit que je suis attaqué par un cheval de Troie!

43 43 Non. Un cheval de Troie n'attaque pas. Un cheval de Troie est un simple serveur. Pour cela, il fait exactement comme un logiciel de chat ou un serveur web: il ouvre un port en écoute (LISTENING) et il attend des commandes venant de l'extérieur. L'alerte que vous avez vue, c'est votre firewall qui vous prévient que quelqu'un sur internet essai de se connecter sur votre ordinateur sur un port qui est habituellement utilisé par un cheval de Troie bien précis. C'est sans danger si le cheval de Troie n'est pas présent sur votre ordinateur. Pour vous en assurer, installez un antivirus et un détecteur de cheval de Troie. On en trouve des gratuits: ) Vérification des mises à jour des paquets # apt-get update Si cela ne fonctionne pas vérifier les dépôts # /etc/apt/sources.list deb ftp://mirrors.powersource.cx/pub/debian-multimedia/ stable main deb-src ftp://mirrors.powersource.cx/pub/debian-multimedia/ stable main Ensuite relancer apt-get update 5. 2) Pour réaliser une configuration de Vlan virtuel sur le PC 1 qui représente le firewall 1 On commence par télécharger le paquet vlan # apt-get install vlan # vconfig add eth0 12 # vconfig add eth0 13 Cela aura pour but de crées des vlan virtuel qui serons sur eth0 Ensuite aller dans # vim /etc/network/interfaces Pour configurée leur adresse IP

44 44 Vue du fichier interface : # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces (5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address netmask network broadcast gateway # dns-* options are implemented by the resolvconf package, if installed dns-nameservers dns-search tftic.local post-up iptables-restore < /etc/iptables auto eth1 iface eth1 inet static address netmask auto eth2 iface eth2 inet static address netmask auto eth2.11 iface eth2.11 inet static address netmask auto eth2.12 iface eth2.12 inet static address netmask auto eth2.13 iface eth2.13 inet static address netmask auto eth2.14 iface eth2.14 inet static address netmask Redémarrer le service # /etc/init.d/networking restart Vérifier par un ifconfig si tout es bien réalisé

45 ) prendre également un petit utilitaire qui permet de voir si la carte est branché # apt-get install Ethtool Ethtool est un outil vous permettant d'afficher les paramètres de gestion d'une interface ethernet, mais également d'agir sur cette même interface. Quelques commandes utiles Sudo ethtool eth0 Permet d'afficher l'état de l'interface eth0. Le résultat proposé contient quelques informations intéressantes sur Votre carte réseau 1) Si elle supporte les modes de transferts allant de 10 à 1000 Mb/s (Supported link modes) 2) Si elle supporte l'auto négociation (Supports auto-négociation: Yes). Cette dernière est activée (Auto-négociation: on). L'auto négociation gère la vitesse de connexion en toute autonomie, vous évitant ainsi de connaitre la capacité du réseau sur lequel vous êtes connecté. 7. 4) sur le second pc qui représente le firewall 2 4.1) configuration de l interface # vim /etc/network/interfaces Pour configurée leur adresse IP Vue du fichier interface : # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address netmask network broadcast gateway # dns-* options are implemented by the resolvconf package, if installed dns-nameservers dns-search tftic.local post-up iptables-restore < /etc/iptables auto eth1 iface eth1 inet static address netmask Redémarrer le service # /etc/init.d/networking restart Vérifier par un ifconfig si tout es bien réalisé 4.2) configuration du resolv.conf Reproduire la même étape que sur le second voir ici page ) Adressage IP des cartes réseaux pour les debians

46 46 Les adresses IP pour le FireWall 1 Eth (wan patch panel 141) Eth (lan patch panel 142) Eth2 ici c est un cas spécial car cette carte aura 3 adresses IP de vlan virtuel - eth eth eth Les adresses IP pour le FireWall 2 Eth (wan patch panel 137) Eth (lan patch panel 138) 9. 6) activer le routage En réseau informatique, on dit qu'un routeur fait du Network Address Translation (NAT) («traduction d'adresse réseau» [1] ) lorsqu'il fait correspondre les adresses IP internes nonuniques et souvent non routables d'un intranet à un ensemble d'adresses externes uniques et routables. Ce mécanisme permet notamment de faire correspondre une seule adresse externe publique visible sur Internet à toutes les adresses d'un réseau privé, et pallie ainsi l'épuisement des adresses IPv4. Différents types de NAT NAT statique Où un ensemble d'adresses internes fait l'objet d'une traduction vers un ensemble de même taille d'adresses externes. Ces NAT sont dites statiques car l'association entre une adresse interne et son homologue externe est statique (première adresse interne avec première externe ). La table d'association est assez simple, de type un pour un et ne contient que des adresses. Ces NAT servent à donner accès à des serveurs en interne à partir de l'extérieur. Il existe trois types de NAT statiques : NAT statique unidirectionnel qui transfèrent uniquement les connexions de l'extérieur vers l'intérieur (attention, les paquets de retour sont aussi transférés). Le plus souvent lorsque la machine interne initie une connexion vers l'extérieur la connexion est traduite par une autre NAT dynamique. NAT statique bidirectionnel qui transfèrent les connexions dans les deux sens. NAT statique PAT (Port Address Translation du port serveur). Conjonction d'une NAT statique uni ou bidirectionnelle et d'une traduction du port serveur. Le nom PAT vient du fait que le port serveur/destination est transféré ; à ne pas confondre avec la NAT dynamique PAT. Mettre le NAT et redémarrer la machine pour vérifier son fonctionnement cela sur les 2 PC - commencer par activer l ip_forward #/etc/sysctl.conf Dé commenter la ligne 28 Net.ipv4.ip_forward=1 - Activer le NAT # iptables -t nat -A POSTROUTING o eth0 -j MASQUERADE # iptables -t nat -L (cela nous montre que la règle a étais mise) # iptables-save > /etc/ iptables (sauvegarde la règle) - Modifier le fichier interfaces pour l iptable Aller sur # vim /etc/network/interface Sélectionner la carte eth0 (qui dans notre cas représente l IP public) à la fin du champ eth0 ont écrit ceci : post-up iptables-restore < /etc/iptables

47 47 Sauvegarder le fichier et redémarrer la machine #init 6 Si cela fonctionne correctement passé à l étape ) Règle firewall Je crée mon fichier firewall dans /etc/init.d/firewall, Je réalise un lien symbolique sur ln -s /etc/init/firewall /sbin/firewall Pour que les modifications apporté ce répertorie automatiquement dans le fichier Sbin/firewall Dans sbin donne au script les permissions d'exécution pour lui permettre de démarrer de n'importe où Firewall 1 #!/bin/bash # # Firewall script # # La commande iptables nous permet de configuree notre firewall # ACCEPT qui a pour regle d'accepter la connexion # DROP qui a pour regle de laisser tomber la connexion # REJECT qui refuse la connexion # NEW pour une connexion entrante # RELATED, ESTABLISHED pour une connexion deportee ou en cours # # Dans la plupart des cas, nous faisons ce genre de chose: # iptables -A NOM DE LA chaine [options...] -i interface -o interface -j chaine DE SORTIE # # NOM DELA chaine sera INPUT, OUTPUT... en gros "ou va le paquet". -i et -o correspondent aux interfaces (eth0, lo, # ) et enfin chaine DE SORTIE correspond à la chaine qui va traiter le paquet (ACCEPT, DROP...). # iptables -A INPUT (on filtre) -j (on accepte, on rejette, on redirige... au choix) # # definir le filtrage. # iptables -A INPUT -p tcp -m tcp --dport 80 -J ACCEPT # # l option "-m"? Elle sert a definir ce que nous allons tester juste derriere. Nous pouvons en effet charger plusieurs # Extensions en meme temps, iptables doit savoir a quoi vont correspondre les options qui vont suivre. C'est en # Quelques sortes un interrupteur. # iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT # # refuse les connexions sur le port 80 avec la carte eth1, mais j'accepte ceux de eth0. # autoriser les nouveau paquets qui arrivent sur le port 80: # iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -i eth0 -j ACCEPT # iptables -A INPUT -p tcp -m tcp --dport 80 -i eth1 -j DROP # # les Ubunteros devront remplacer service myfirewall par /etc/init.d/myfirewall... les joies des différences d'ubuntu... # vim /etc/init.d/firewall

48 48 ###################################################################################### ######## function flush_firewall { iptables -F } function stop_firewall { # Regles par defaut pour le stop iptables -t filter -P INPUT ACCEPT iptables -t filter -P FORWARD ACCEPT iptables -t filter -P OUTPUT ACCEPT } flush_firewall echo "firewall couper" #-t nat (pour designer la table qui consulte les paquets) #-A pour rajouter la chaine dans notre cas le POSTROUTING apres le routage #-o eth0 pour dire qu il sortira de l interface eth0 #-j pour lui dire ce qu il doit faire si le paquet correspond #Le masquerade pour lui mettre l adresse ip source qui est la sienne iptables -t nat -F iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #case $1 in # start) #ceci es definis dans une fonction pour que le restart puisse fonctionner correctement et donc stopper et starter le script function start_firewall { echo -n "Lancement du firewall..." echo " [OK]" # -t filter représente la table par défaut # -F pour vider la table designer # Vider les tables actuelles iptables -t filter -F # -X pour vider la chaine de la table définis par le user # Vider les règles personnelles iptables -t filter -X # DROP qui a pour règle d interdire la connexion # Règles par défaut Interdire toute connexion entrante et sortante qui utilise la table par défaut

49 49 iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # - m state désigne l état du paquet # RELATED, ESTABLISHED pour une connexion en cours # Ne pas casser les connexions établies iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT # -i pour désigner la connexion entre l interface # lo pour designer la loopback # -s pour désigner l'adresse ip qui nous contacte # - o pour désigner le connexion sortante interface # - d pour designer l'adresse ip vers la quel on se dirige # Autoriser loopback iptables -t filter -A INPUT -i lo -s /8 -j ACCEPT iptables -t filter -A OUTPUT -o lo -d /8 -j ACCEPT # Firewall ==> LAN iptables -t filter -A OUTPUT -o eth1 -d /24 -j ACCEPT # DMZ ==> LAN iptables -A FORWARD -i eth2.11 -s /30 -o eth1 -d /24 -j ACCEPT iptables -A FORWARD -i eth2.12 -s /30 -o eth1 -d /24 -j ACCEPT iptables -A FORWARD -i eth2.13 -s /30 -o eth1 -d /24 -j ACCEPT iptables -A FORWARD -i eth2.14 -s /24 -o eth1 -d /24 -j ACCEPT # Firewall ==> DMZ iptables -t filter -A INPUT -i eth2.11 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth2.11 -d /24 -j ACCEPT iptables -t filter -A INPUT -i eth2.11 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth2.11 -d /24 -j ACCEPT iptables -t filter -A INPUT -i eth2.12 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth2.12 -d /24 -j ACCEPT iptables -t filter -A INPUT -i eth2.12 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth2.12 -d /24 -j ACCEPT iptables -t filter -A INPUT -i eth2.13 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth2.13 -d /24 -j ACCEPT iptables -t filter -A INPUT -i eth2.13 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth2.13 -d /24 -j ACCEPT iptables -t filter -A INPUT -i eth2.14 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth2.14 -d /24 -j ACCEPT iptables -t filter -A INPUT -i eth2.14 -s /24 -j ACCEPT

50 50 iptables -t filter -A OUTPUT -o eth2.14 -d /24 -j ACCEPT # -p pour spécifier le protocole dans notre cas icmp, ici icmp na pas de dport # car il est au même niveau que l'ip, il n'a rien avoir avec tcp n'y udp # ICMP (Ping) iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # NTP Out :123 iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT #firewall ==> Wan iptables -t filter -A INPUT -i eth0 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -d /24 -j ACCEPT # # règle autorisant la retransmission de requêtes HTTP entrantes afin que le routage NAT de destination soit possible iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 1024: sport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT # SSH In/Out :22 # DNS In/Out :53 # Mail SMTP:25 / SSMTP:465 # Mail POP3:110 / Mail POP3S:995 # Mail IMAP:143 / IMAP4-ssl:585 / IMAPS:993 # FTP:20 / UDP:21 # OpenVPN TCP - UDP 1194 # Règle FORWARD pour la communication avec un réseau externe # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT

51 51 iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT

52 52 iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # Asterisk #Protocole - SIP 5060 / IAX / RTP 10000:20000 / MGCP 2727 # mngt --> Asterisk iptables -A FORWARD -i eth2.14 -s /24 -o eth2.12 -j ACCEPT # Lan --> Asterisk iptables -t nat -A PREROUTING -p udp --dport 10000: j DNAT --to-destination

53 53 iptables -t nat -A PREROUTING -p udp --dport j DNAT --to-destination iptables -t nat -A PREROUTING -p udp --sport 53 -j DNAT --to-destination iptables -t nat -A PREROUTING -p udp --sport j DNAT --to-destination # wan --> Asterisk iptables -A FORWARD -p udp -s 0/0 -d dport j ACCEPT } case $1 in start) stop) ;; ;; # Règles par défaut pour le start voir la fonction start_firewall # Règles par défaut pour le stop voir la fonction stop_firewall status) par nom esac # L pour lister v pour avoir un max d information n pour qu il ne réalise pas les conversions iptables -L -v -n --line-numbers more ;; restart) stop_firewall sleep 1 start_firewall ;; #!/bin/bash *) echo "Usage: $0 {start stop restart status}" ;; function flush_firewall { iptables -F } function stop_firewall { Firewall 2 # Regles par défaut pour le stop iptables -t filter -P INPUT ACCEPT iptables -t filter -P FORWARD ACCEPT iptables -t filter -P OUTPUT ACCEPT flush_firewall

54 54 } echo "firewall couper" iptables -t nat -F iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE function start_firewall { echo -n "Lancement du firewall..." echo " [OK]" # Vider les tables actuelles iptables -t filter -F # Vider les règles personnelles iptables -t filter -X # Règles par défaut Interdire toute connexion entrante et sortante qui utilise la table par défaut iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # Ne pas casser les connexions établies iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT # Autoriser loopback iptables -t filter -A INPUT -i lo -s /8 -j ACCEPT iptables -t filter -A OUTPUT -o lo -d /8 -j ACCEPT # Firewall ==> LAN iptables -t filter -A OUTPUT -o eth1 -d /24 -j ACCEPT # ICMP (Ping) iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # NTP Out :123 iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT #firewall ==> Wan iptables -t filter -A INPUT -i eth0 -s /24 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -d /24 -j ACCEPT #regle autorisant la retransmission de requêtes HTTP entrantes afin que le routage NAT de destination soit possible

55 55 iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 1024: sport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT # Regle FORWARD pour la communication avec un reseau externe # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT

56 56 iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT

57 57 # iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 123 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 465 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 585 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 993 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d /24 --dport j ACCEPT iptables -A FORWARD -p udp -s 0/0 -d /24 --dport j ACCEPT # Asterisk #Protocole - SIP 5060 / IAX / RTP 10000:20000 / MGCP 2727 # Lan --> Asterisk iptables -t nat -A PREROUTING -p udp --dport 10000: j DNAT --to-destination iptables -t nat -A PREROUTING -p udp --dport j DNAT --to-destination iptables -t nat -A PREROUTING -p udp --sport 53 -j DNAT --to-destination iptables -t nat -A PREROUTING -p udp --sport j DNAT --to-destination # wan --> Asterisk iptables -A FORWARD -p udp -s 0/0 -d dport j ACCEPT } case $1 in start) stop) ;; ;; # Règles par défaut pour le start voir la fonction start_firewall # Règles par défaut pour le stop voir la fonction stop_firewall status) par nom # L pour lister v pour avoir un max d information n pour qu il ne réalise pas les conversions iptables -L -v -n --line-numbers more ;; restart) stop_firewall

58 58 sleep 1 start_firewall ;; esac *) echo "Usage: $0 {start stop restart status}" ;;

59 ) Asterisk règle Iptable C'est quoi ça? Bien, asterisk, c'est un logiciel qui permet d'installer chez vous l'équivalent d'un centre d'appel. Le logiciel est Open Source, alors, ça vous coutera un minimum d'argent pour mettre tout ça en route. Évidemment, on peut pas attendre de Asterisk le même niveau de fiabilité et de performances qu'un système professionnel, mais pour utilisation personnelle, c'est amplement suffisant. A quoi sert asterisk? Installation La façon la plus simple d'installer Asterisk, c'est avec Asterisk@home. C'est un CD qui installe un système complet automatiquement sans que vous ayez a faire autre chose que lui dire "oui, je veux installer Asterisk" Évidemment, ça va vous prendre un ordi dédié uniquement à Asterisk. Mais, comme la machine n'a pas à être très puissante, vous devriez trouver ça à pas trop cher. Le plus compliqué, c'est le matériel spécialisé qui est nécessaire pour pouvoir brancher des lignes téléphoniques normales analogiques sur ce PC. Heureusement, encore une fois, on en trouve à pas chez. Sécurité d Asterisk Configuration du firewall Les communications d'asterisk passent par un grand nombre de ports. Afin de pouvoir accéder à Asterisk depuis l'extérieur et de lui permettre de communiquer en-dehors du serveur sur lequel il est installé, il est nécessaire d'ouvrir certains ports en fonction des services que vous voulez utiliser. Les ports par défaut sont les suivants (en UDP), ils sont configurable dans les fichiers config: Protocole SIP IAX2 IAX RTP MGCP Port : # Asterisk #Protocole - SIP 5060 / IAX / RTP :20000 / MGCP 2727 # Lan --> Asterisk iptables -t nat -A PREROUTING -p udp --dport 10000: j DNAT --to-destination iptables -t nat -A PREROUTING -p udp --dport j DNAT --to-destination iptables -t nat -A PREROUTING -p udp --sport 53 -j DNAT --to-destination iptables -t nat -A PREROUTING -p udp --sport j DNAT --to-destination # wan --> Asterisk iptables -A FORWARD -p udp -s 0/0 -d dport j ACCEPT

60 60 III) Routage Voir le fichier sysctl.conf qui accepte le routage en décochant la ligne ipc4_forward 1 IV) Proxy Après l installation du xencenter qui virtualise la Template du proxy Nous installons sous la machine cliente le client xencenter pour pouvoir manager celui si Lancer le programme xencenter -clic droit sur XenCenter - Add - choisir Proxy -console Entrée le nom d utilisateur et mots de passe «toto / test1234=» Modifier le fichier interface Aller sur # vim /etc/network/interface # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address netmask gateway auto eth1 iface eth1 inet static address netmask proxy Dans le fichier /etc/resolv.conf Modifier le host et le hostname changé le nom Template par Nameserver Mais il se peut que celui si disparais au redémarrage alors le placer également dans /etc/network/interface également Dans le cas où on ne sait toujours ping il se peut alors que ce soit le paquet de resolvconf qui pose problème Alors réalise la manipulation suivante Apt-get --purge remove resolvconf Normalement là on peut maintenant supprimer Nameserver du fichier /etc/network/interface et retournée dans vim /etc/resolv.conf 12.1) Serveurs proxy (serveurs mandataires) et reverse proxy ) Mise en place d'un serveur proxy

61 61 Le proxy le plus répandu est sans nul doute Squid, un logiciel libre disponible sur de nombreuses plates-formes dont Windows et Linux ) Mais c'est quoi un proxy? Je prends mon dictionnaire d'anglais : "proxy : mandataire", "by proxy : par procuration" appelé aussi «serveur mandataire» Un proxy, c'est donc un mandataire, un intermédiaire. Un serveur proxy est à l'origine une machine faisant fonction d'intermédiaire entre les ordinateurs d'un réseau local (utilisant parfois des protocoles autres que le protocole TCP/IP) et internet. La plupart du temps le serveur proxy est utilisé pour le web, il s'agit alors d'un proxy HTTP. Toutefois il peut exister des serveurs proxy pour chaque protocole applicatif (FTP,...). Comment ça marche? Le principe de fonctionnement basique d'un serveur proxy est assez simple : il s'agit d'un serveur "mandaté" par une application pour effectuer une requête sur Internet à sa place. En tapant une adresse comme votre ordinateur va se connecter sur le serveur et demander la page index.html. Requête HTTP sans proxy Avec un proxy, quand vous tapez votre ordinateur va se connecter au proxy et lui demande d'aller chercher la page sur Requête HTTP avec proxy Ainsi, lorsqu'un utilisateur se connecte à internet à l'aide d'une application cliente configurée pour utiliser un serveur proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui donner sa requête. Le serveur proxy va alors se connecter au serveur que l'application cliente cherche à joindre et lui transmettre la requête. Le serveur va ensuite donner sa réponse au proxy, qui va à son tour la transmettre à l'application cliente. 15.2) A quoi ça sert?

62 ) Le filtrage D'autre part, grâce à l'utilisation d'un proxy, il est possible d'assurer un suivi des connexions (en anglais logging ou tracking) via la constitution de journaux d'activité (logs) en enregistrant systématiquement les requêtes des utilisateurs lors de leurs demandes de connexion à Internet. Il est ainsi possible de filtrer les connexions à internet en analysant d'une part les requêtes des clients, d'autre part les réponses des serveurs. Lorsque le filtrage est réalisé en comparant la requête du client à une liste de requêtes autorisées, on parle de liste blanche, lorsqu'il s'agit d'une liste de sites interdits on parle de liste noire. Enfin l'analyse des réponses des serveurs conformément à une liste de critères (mots-clés,...) est appelé filtrage de contenu. Un proxy peut avoir plusieurs utilisations. Le proxy peut vous protéger : il peut vous autoriser à vous connecter à l'extérieur et interdire les ordinateurs d'internet de venir se connecter sur le vôtre. Cette fonction de protection du proxy est souvent incluse dans les firewalls (murs de feu), des ordinateurs programmés pour filtrer les communications entre les réseaux (par exemple entre le réseau d'une entreprise et Internet). Le proxy peut masquer les informations concernant votre ordinateur: En effet, quand vous surfez, tous les sites Web peuvent savoir de quel site vous venez, quel navigateur vous utilisez, quel est votre système d'exploitation, votre adresse IP... Certains proxy masquent ces informations. Ces proxy sont dits proxy anonymes. Le proxy peut mémoriser les pages les plus demandées. Ainsi si vous demandez plusieurs fois la page le proxy vous la donnera immédiatement sans aller la chercher sur Si vous êtes proche du proxy, cela peut accélérer les choses. Il s'appelle alors proxy-cache ) L'authentification Dans la mesure où le proxy est l'intermédiaire indispensable des utilisateurs du réseau interne pour accéder à des ressources externes, il est parfois possible de l'utiliser pour authentifier les utilisateurs, c'est-à-dire de leur demander de s'identifier à l'aide d'un nom d'utilisateur et d'un mot de passe par exemple. Il est ainsi aisé de donner l'accès aux ressources externes aux seules personnes autorisées à le faire et de pouvoir enregistrer dans les fichiers journaux des accès identifiés. Ce type de mécanisme lorsqu'il est mis en œuvre pose bien évidemment de nombreux problèmes relatifs aux libertés individuelles et aux droits des personnes... Les dangers Confidentialité: Mots de passe: Modifications: Censure: Etant donné que vous demandez toutes vos pages au proxy, celui-ci peut savoir tous les sites que vous avez visité. Certains sites Web nécessitent des mots de passe. Comme vous passez par le proxy, le proxy connaîtra vos mots de passe (sauf si vous utilisez HTTPS/SSL). Le proxy vous fournit les pages, mais il est également possible qu'il les modifie à la volée avant de vous les donner (cela reste rare, mais possible!). Certains proxy peuvent être configurés pour censurer des sites. Il faut donc avoir confiance en l'administrateur du proxy. A vous de voir si vous voulez faire confiance au serveur proxy de votre fournisseur d'accès. Pour ceux des entreprises... c'est à voir! Les spécialistes estiment que 70% des entreprises américaines examinent les accès des employés aux proxy. Malgré tout, je vous recommande de désactiver - si vous le pouvez- le proxy quand vous devez accéder à des sites nécessitant des mots de passe. 18.3) Les reverse-proxy

63 63 On appelle reverse-proxy (en français le terme de relais inverse est parfois employé) un serveur proxy-cache "monté à l'envers", c'est-à-dire un serveur proxy permettant non pas aux utilisateurs d'accéder au réseau internet, mais aux utilisateurs d'internet d'accéder Le reverse-proxy sert ainsi de relais pour les utilisateurs d'internet souhaitant accéder à un site web interne en lui transmettant indirectement les requêtes. Grâce au reverse-proxy, le serveur web est protégé des attaques directes de l'extérieur, ce qui renforce la sécurité du réseau interne. D'autre part, la fonction de cache du reverse-proxy peut permettre de soulager la charge du serveur pour lequel il est prévu, c'est la raison pour laquelle un tel serveur est parfois appelé «accélérateur» (server accelerator). Enfin, grâce à des algorithmes perfectionnés, le reverse-proxy peut servir à répartir la charge en redirigeant les requêtes vers différents serveurs équivalents; 4) Autre danger : les proxys transparents En principe, vous indiquez volontairement que vous voulez utiliser un proxy. Certains fournisseurs d'accès (comme Wanadoo ou AOL, dans certains cas), regardent quels protocoles vous utilisez et détournent sans vous le dire les requêtes HTTP vers leurs serveurs proxy. Certains fournisseurs détournent les requêtes HTTP sur leurs serveurs proxy sans vous le dire ) Pourquoi font-ils cela? Cela permet d'effectuer des statistiques très précises sur les habitudes de navigation des internautes, et ce genre d'information se vend très bien aux sociétés de marketting. Cela permet d'économiser de la bande passante pour réduire la quantité de données reçues d'internet. Il est également arrivé chez un fournisseur (AOL) que le proxy-cache re-compresse les images avec une qualité moindre pour gagner de la place. Résultat: tous les sites consultés devenaient hideux (images de très mauvaise qualité).

64 ) Comment détecter un proxy transparent? En principe, quand vous vous connectez sur un site Web sans proxy, celui-ci doit voir votre adresse IP (ou celle de votre passerelle). Il suffit de comparer votre adresse IP avec celle vue par le serveur Web. Désactivez le proxy dans votre navigateur, puis essayez par exemple un des sites suivants: Si vous ne passez pas par une passerelle, comparez le champ REMOTE_ADDR avec votre adresse IP. Si elles sont différentes, alors c'est que votre fournisseur d'accès utilise probablement un proxy transparent! (ou bien que vous passez par une passerelle/firewall). (Pour connaître votre adresse IP, lancez winipcfg.exe sous Windows 95/98/ME, ou ipconfig.exe sous Windows NT/2000/XP ou encore ifconfig sous Linux)

65 65 Après la 1ère partie de configuration décrite ci-dessus J Install un serveur de synchronisation de temps #apt-get install ntp #ntpdate 1.be.pool.ntp.org Je tape #date Pour que celui si me donne la date et l'heure du serveur Je crée ma règle iptable iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Du a la création du proxy et a son port il me faut également crées une redirection de trafic Du port 80 vers le port 3128, sauver la configuration et redémarrer le service #iptables -t nat -A PREROUTING -i eth0 -p tcp - dport 80 -j REDIRECT -to -port 3128 Pour sauvegarder la configuration iptables iptables-save > /etc/iptables Pour vérifier si ma regle es bien établie iptables -t nat -L Voir plus haut pour l interface vim /etc/network/interfaces J Install la dernier version de squid vue que dans notre cas c'est celui que l'on utilise #aptitude install squid3 Je crée une copie de la configuration pour garder une sauvegarde du fichier authentique mv /etc/squid3/squid.conf /etc/squid_old.conf

66 66 Le script : # spécifier le type d'authentification auth_param basic program /usr/lib/squid.conf #définition des acl (Access control list) pour spécifier les différentes autorisations #acl qui s'appelle all et dont la source représente toutes les IP acl all src /0 #acl qui s'appelle LocaNet et dont la source représente les ip du réseau indiqué acl LocalNet /24 acl LocalNet /24 #acl qui s'appelle localhost et dont la source représente l'adresse de bouclage acl localhost src /32 #acl qui spécifie qu'une authentification est requise acl Auth1 proxy_auth REQUIRED # acl qui spécifie les ports autorisés # 21 ftp - 80 http https # SSH In/Out :22 # DNS In/Out :53 # Mail SMTP:25 / SSMTP:465 # Mail POP3:110 / Mail POP3S:995 # Mail IMAP:143 / IMAP4-ssl:585 / IMAPS:993 # FTP:20 / UDP:21 # OpenVPN TCP - UDP 1194 acl safe_ports port #acl qui spécifie les jours de connection autorisés acl Hours Time MTWHF 9:00-18:00 #définit les autorisations à utiliser le proxy #LocalNet et localhost autorisés sur les ports définis, les jours définis et avec authentification http_access allow LocalNet0 Safe_ports Auth1 http_access allow LocalNet0 Safe_ports Hours Auth1 #Accès refusé à tous les autres http_access deny all #définit le nom de la machine visible_hosname Proxy #définit le port d'écoute du proxy (rajouter ce port au firewall) http_port 3128 #définit l'endroit où seront enregistrés les logs cache_access_log /var/log/squid/access.log

67 67 #définit l'endroit où seront enregistrés les messages d'erreur error_directory /usr/share/squid/errors/french Ça devrait suffire pour le moment. On crée l'utilisateur squid pour notre service. #adduser --disabled-login --no-create-home --system --group squid On lui donne les droits nécessaires sur les répertoires de log, et de cache. #chown squid /var/log/squid/ -R #chown squid /var/spool/squid/ -R Il faut maintenant générer les dossiers de cache, démarrer le service et faire en sorte qu'il se lance au démarrage #squid -z Pour s'assurer que l'utilisateur et le groupe squid sont bien les propriétaires de var/spool/squid/* #chown squid:squid /var/spool/squid/* Quand le squid es bien réalisé démarrer le service attention a ne pas oublier la redirection et de bien sauver la table iptables # /etc/init.d/squid start 21.5) Squid en mode transparent Pour un parc informatique de 2 machines les manipulations sont plutôt restreintes. Mais en milieu professionnel, on rencontre rapidement des parcs comportant grand nombre de machines. Une solution idéale est de rendre notre proxy transparent pour nos utilisateurs, et donc faciliter le déploiement pour notre administrateur. Là encore c'est très complexe, on va utiliser IPtables sur notre Firewall en créant une règle pour translater les requêtes de notre lan (sur le port http pour le moment destiné à la gateway par défaut) vers notre proxy sur le port #IPTABLES -t nat -A PREROUTING -p tcp -m tcp -s /24 -d dport 80 -j DNAT --to-destination :3128 #IPTABLES -t nat -A PREROUTING -p tcp -m tcp -s /24 -d dport 80 -j DNAT --to-destination :3128 Il suffit désormais de désactiver le paramétrage manuel de notre navigateur puis de réeffectuer une requête. 22.6) Webalizer Analyseur de journaux de serveurs web The Webalizer est conçu pour contrôler les fichiers log des serveurs web dans différents formats et produire des statistiques d'utilisation au format HTML pour pouvoir les visionner avec un navigateur web. The Webalizer produit des statistiques annuelles, mensuelles, quotidiennes et par heure. Dans les rapports mensuels plusieurs statistiques peuvent être produites pour montrer les usages dans leur ensemble, utilisation par jour et heure, utilisation par sites visités, URL, navigateurs web, pages d'origine et pays. The Webalizer est très configurable par les options en ligne de commande ou par un fichier de configuration, ce qui permet au programme de s'adapter à vos besoins particuliers facilement. Après sont installés, il suffit d éditer le fichier de configuration : #vim /etc/webalizer.conf

68 68 Il faudra redémarrer le service http et webalizer #etc/init.d/httpd restart #etc/init.d/ webalizer restart Il faut régler le proxy dans le browser avec l ip et port 3128 pour consulter webalizer, ouvrir le browser et taper dans la barre d adresse Notre solution fonctionne, mais notre proxy se limite à faire du cache. Dansguardian avec Squid afin d'inclure une solution de web content filter. Installation de Dansguardian/Clamav Pour bénéficier d'un web content filter, nous allons utiliser les services de l'outil Dansguardian. Nous allons également installer une librairie snmp afin de faire remonter des alertes par courriel. Pour installer le tout, il faut effectuer : #apt-get install dansguardian libesmtp-dev On utilise ici le fichier de configuration #/etc/dansguardian/dansguardian.conf. # vim /etc/dansguardian/dansguardian.conf # language à utiliser language = 'french' # utilisateur et groupe daemonuser = 'clamav' daemongroup = 'clamav' # pour l'antivirus virusscan = on virusengine = 'clamav'

69 69 23.V) Lexique Explication des options utilisées # ACCEPT qui a pour règle d'accepter la connexion # DROP qui a pour règle d interdire la connexion # REJECT qui refuse la connexion # NEW pour une connexion entrante # RELATED, ESTABLISHED pour une connexion déportée ou en cours # POSTROUTING pour envoyer des paquets Après le routage (trafic sortant après le routage) : Cette chaine permet de négocier les trames après la décision du routage, juste avant que le paquet soit envoyé. # MASQUERADE fonction de masquage de l adresse ip source pour lui mettre la sienne La table FILTER La table FILTER permet de filtrer les paquets réseaux. Tout paquet entrant est analysé afin de déterminer sa source et sa destination, elle permet soit de : DROP, LOG, ACCEPT, REJECT, les paquets. La table FILTER se compose de trois sortes de chaine: INPUT, OUTPUT, FORWARD. Input : Si le paquet est adressé au poste, il est confronté au filtre INPUT. Output : Si le paquet sort du poste, il passera donc par la chaine OUTPUT. Forward : Si une quelconque règle autorise le paquet à entrer, le paquet passera la barrière de INPUT, si il n'y'a pas de règle spécifique qui autorise le paquet à entrer, et à condition qu'il soit actif (FORWARDÉ), la trame passera par le filtre FORWARD. Rôle de INPUT, OUTPUT, FORWARD dans la table FILTER Input : Permet d'analyser les paquets entrants. Output : Permet d'analyser les paquets sortants. Forward : Permet d'analyser et d'autoriser les trames à passer d'une interface à une autre, seulement dans le cadre d'une interface réseau servant de passerelle. Haut du formulaire Bas du formulaire

70 70 La table NAT La table NAT devrait être utilisée seulement pour faire de la translation d'ips (NAT). En clair elle ne devrait servir qu'à traduire le champ de l'ip source d'un paquet ou celui de l'ip destination. La table NAT se compose de trois sortes de chaine: PREROUTING, POSTROUTING, OUTPUT. Prerouting (trafic entrant avant le routage) : Cette chaine permet de négocier les trames arrivant de l'extérieur avant qu'ils ne soient routés. Output : Idem que PREROUTING, pour les connexions issues d'un processus du système, le trafic est généré par la machine locale avant le routage. Haut du formulaire Bas du formulaire La table MANGLE La table MANGLE sert à modifier des paquets. La table MANGLE se compose de deux sortes de chaine: PREROUTING & OUTPUT Prerouting: Permet de modifier les trames entrantes avant qu'elles ne soient routées. Output: Permet de modifier les trames locales avant leur re-routage vers leur destination. # -o eth0 -> Pour ce qui sort (-o) de l'interface eth0 #-A = désigne : la règle d une chaine, cela ajoute une ou plusieurs règles à la fin de la chaine #sélectionnée, si on désigne plusieurs adresse une règle sera ajouter par adresse # Ex : -A INPUT -A OUTPUT -A FORWARD A POSTROUTING #-D = désigne : efface une ou plusieurs règles de la chaine sélectionnée #-d = désigne : destination vers quel adresse ip on se dirige #--dport ou -destination-port désigne : le port de destination #--sport désigne : le port source #-F = désigne : pour vider la chaine sélectionner #-i = désigne : le nom de l interface d entrée qui reçoit le/les paquet(s) qui passe par INPUT, #FORWARD et ou PREROUTING). #-j = désigne : ce qu'il faut faire si le paquet correspond à la règle. #m --state = désigne : l état du paquet #--state NEW = désigne : que je laisse passer une nouvelle connections #-o = désigne : le nom de l interface de sortie qui envoie le/les paquet(s) qui passe par INPUT, #FORWARD et ou PREROUTING).

71 71 #-p = désigne : le protocole utilisé tcp, udp, icmp ou all voir une valeur numérique # Ex : -p tcp --dport 22 # -p tcp --dport 22 #-t = désigne : la table des paquets # filter #C'est la table par défaut. Elle contient les chaînes prédéfinies INPUT (pour les paquets entrants dans #la machine), FORWARD (pour les paquets routés à travers la machine), et OUTPUT (pour les paquets #générés en local). # nat #Cette table est consultée lorsqu'un paquet qui crée une nouvelle connexion est détecté. Elle est #composée de trois chaînes prédéfinies : PREROUTING (pour modifier les paquets dès qu'ils #entrent), OUTPUT (pour modifier les paquets générés localement avant qu'ils ne soient routés), et #POSTROUTING (pour modifier les paquets lorsqu ils sont sur le point de sortir). #-s = désigne : source de l adresse ip de la personne qui nous contacte #-X = désigne : efface la chaine désignée qui es définis par l utilisateur #--syn = désigne : S'applique à tous les paquets TCP, appelés communément paquets SYN, conçus #pour initier la communication. Aucun paquet transportant des données de charge utile n'est touché. #En plaçant un point d'exclamation (!) comme indicateur après l'option --syn, tous les paquets non-#syn seront comparés. Source d information : #Syllabus Technofuturtic # # #Génération de fichier script iptable # Auteur : Farid LOUBANN

72 72 10) Openvpn Toute petite introduction à OpenVPN OpenVPN n'est pas un VPN IPSec. C'est un VPN SSL se basant sur la création d'un tunnel IP (UDP ou TCP au choix) authentifié et chiffré avec la bibliothèque OpenSSL. Quelques avantages des tunnels VPN SSL: 1. Facilité pour passer les réseaux NATés (pas de configuration à faire) 2. Logiciel clients disponibles sur GNU/Linux, BSD, Windows et Mac OS X. Installation du serveur OpenVPN Nous allons détailler l'installation du serveur OpenVPN sur une distribution DEBIAN On commence par installer OpenVPN et openssl à partir des dépôts officiels: 1. aptitude install openvpn 2. aptitude install openssl La partie la plus compliquée et la plus fastidieuse dans la mise en place d un serveur OpenVPN concerne la génération des clés et des certificats. OpenVPN est livré avec plusieurs scripts permettant de générer plus facilement les clés et les certificats pour OpenSSL. Ces scripts sont enregistrés dans le dossier «easy-rsa» : # cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/ Configuration du serveur OpenVPN Ensuite on lance la séquence suivante qui va générer les clés (.key) et les certificats (.crt) dans le repertoir easy-ras/2.0/: # source vars Le script suivant, permet de créer ou de réinitialiser le sous-dossier «keys» : #./clean-all Le script suivant permet de créer dans «keys» le certificat principal du serveur «ca.crt» et la clé correspondante «ca.key» : #./build-ca Ce script doit afficher à l écran quelque chose qui ressemble à ça : #./build-ca Generating a 1024 bit RSA private key writing new private key to 'ca.key' You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [FR]:

73 73 State or Province Name (full name) [Belgique]: Locality Name (eg, city) [Charleroi]: Organization Name (eg, company) [tftic]: Organizational Unit Name (eg, section) [tftic]: Common Name (eg, your name or your server's hostname) []:MonServeur Address ATTENTION : Pour les questions, la plupart des champs sont renseignés par défaut sauf le «Common Name» qu il faut renseigner manuellement. Exemple «MonServeur». Création du certificat et de la clé pour le serveur OpenVPN Le script suivant permet de créer dans «keys» le certificat «ServeurVPN.crt» et la clé «LeServeurVPN.key» pour le serveur VPN nommé par exemple «ServeurVPN #./build-key-server ServeurVPN Ce script doit afficher à l écran quelque chose qui ressemble à ça : #./build-key-server MonServeur Generating a 1024 bit RSA private key writing new private key to 'MonServeur.key' You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [FR]: State or Province Name (full name) [France]: Locality Name (eg, city) [Dijon]: Organization Name (eg, company) [MonEntreprise]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:LeServeurVPN Address [votr @votredomaine.com]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /usr/share/doc/openvpn/examples/easyrsa/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryname :PRINTABLE:'Be' stateorprovincename :PRINTABLE:'Belgique' localityname :PRINTABLE:'Charleroio' organizationname :PRINTABLE:'tftic' commonname :PRINTABLE:'MonServeurVPN' address :IA5STRING:'contact@monentreprise.fr' Certificate is to be certified until Dec 7 13:41: GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

74 74 ATTENTION : Pour les questions, tous les champs sont renseignés par défaut sauf le «Common Name» qu il faut renseigner manuellement. Exemple «MonServeurVPN». Personnellement, je n ai pas renseigné le champ «password» Création du certificat et de la clé pour un client OpenVPN Le script suivant permet de créer dans «keys» le certificat «Client01.crt» et la clé «Client01.key» pour le client VPN nommé par exemple «Client01» : # cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/ # source vars #./build-key Client01 Ce script doit afficher à l écran quelque chose qui ressemble à ça : pgdebian:/usr/share/doc/openvpn/examples/easy-rsa#./build-key Client01 Generating a 1024 bit RSA private key writing new private key to 'Client01.key' You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [FR]: State or Province Name (full name) [France]: Locality Name (eg, city) [Dijon]: Organization Name (eg, company) [MonEntreprise]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:Client01 Address [contact@monentreprise.fr]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /usr/share/doc/openvpn/examples/easysa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryname :PRINTABLE:'BE' stateorprovincename :PRINTABLE:'Belgique' localityname :PRINTABLE:'Charleroi' organizationname :PRINTABLE:'tftic' commonname :PRINTABLE:'Client01' address :IA5STRING:['contact@monentreprise.fr- >mailto:'contact@monentreprise.fr]' Certificate is to be certified until Mar 4 09:19: GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated ATTENTION : Il faudra renouveler cette opération pour chaque client. Pour les questions, tous les champs sont renseignés par défaut sauf le «Common Name» qu il faut renseigner manuellement. Exemple «Client01». Chaque «Common Name» de chaque client doit être différent. Personnellement, je n ai pas renseigné le champ «password»

75 75 Création du paramètre Diffie Hellman Le script suivant permet de créer dans «keys» le fichier «dh1024.pem» : #./build-dh Ce script doit afficher à l écran quelque chose qui ressemble à ça : Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time *++* Résumé des certificats et clés créés précédemment dans «keys» Emplacement du fichier Type Nom Secret Serveur de certification (CA) OpenSSL Certificat ca.crt Non Serveur de certification (CA) OpenSSL Clé ca.key Oui Serveur OpenVPN Certificat LeServeurVPN.crt Non Serveur OpenVPN Clé LeServeurVPN.key Oui paramètre Diffie Hellman dh1024.pem Non Client OpenVPN N 1 Certificat Client01.crt Non Client OpenVPN N 1 Clé Client01.key Oui Mise en place des certificats et des clés concernant le serveur OpenVPN, le plus simple est de copier les 4 fichiers dans le dossier «/etc/openvpn» : # cp./keys/ca.crt /etc/openvpn/ # cp./keys/leserveurvpn.crt /etc/openvpn/ # cp./keys/leserveurvpn.key /etc/openvpn/ # cp./keys/dh1024.pem /etc/openvpn/ Pour le client, il faudra copier ses deux fichiers une fois que celui-ci sera installé. Configuration d OpenVPN # cd /usr/share/doc/openvpn/examples/sample-config-files/ # gunzip server.conf.gz # cp server.conf /etc/openvpn/ Il suffit ensuite d adapter ce fichier en fonction des besoins. Voici par exemple le fichier de configuration que j utilise : ;Port en écoute utilisé pour la connexion VPN port 1194 ;Protocole utilisé (Le protocole udp est plus sécurisé que le tcp) proto udp

76 76 ;Type d'interface réseau virtuelle créée dev tun ;Nom des fichiers servant à l'authentification des clients via OpenSSL ca keys/ca.crt cert keys/leserveurvpn.crt key keys/leserveurvpn.key dh keys/dh1024.pem ;Adresse du réseau virtuel (Le serveur aura l'adresse ) server ;Cette ligne ajoute sur le client la route du réseau du serveur ;push "route " ;Ces lignes indiquent aux clients l'adresse des serveur DNS et WINS push "dhcp-option DNS " push "dhcp-option DOMAIN tftic.local" ;push "dhcp-option WINS " # Cette ligne permet aux clients de voire les autres clients client-to-client keepalive ;Cette ligne active la compression comp-lzo ;Ces lignes indiquent un user et un group particulier pour le processus user openvpn group openvpn ;Ces lignes permettent de rendre persistante la connexion persist-key persist-tun status openvpn-status.log ;Cette ligne permet d'indiquer le niveau de log souhaité (de 1 à 9) verb 3 On teste la configuration en saisissant la commande suivante: # Openvpn server.conf Démarrage du serveur OpenVPN # Echo 1 > /proc/sys/net/ipv4/ip_forward # Sysctl p net.ipv4.ip_forward = 1 # iptables -t nat -A POSTROUTING -s /24 -o eth0 -j MASQUERADE La commande suivante permet de démarrer ou redémarrer le serveur : # /etc/init.d/openvpn restart Ne pas hésiter à regarder dans les logs que tout c est bien passé : # tail -F /var/log/syslog Bien vérifier également que le processus tourne sous l utilisateur «openvpn» # ps aux grep openvpn Pour finir, si tout c est bien passé l interface «tun0» doit apparaître dans la configuration du réseau :

77 77 # ifconfig... tun0 Lien encap:unspec HWaddr inet adr: P-t-P: Masque: UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Configuration du fichier client.conf: # cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/ # vim /etc/openvpn/client.conf La configuration doit ressembler à ça : client # spécifie à openvpn de fonctionner en mode client remote <adresse_ip_serveur_vpn ( )> 1194 # adress_ip_serveur_vpn est soit l'ip du serveur, soit son nom d'hôte -- le firewall doit # permettre la connexion vers l'extérieur sur le port du serveur, ici 1194 proto tcp # protocole utilisé dans la connexion resolv-retry infinite # tentera indéfiniment de résoudre l'ip du serveur hôte en cas d'échec nobind # spécifie de ne pas se lier à une adresse et un port local ns-cert-type server # vérifie que le certificat du serveur est bien un certificat de serveur et # ainsi évite de se connecter à un client qui se ferait passer pour le # serveur avec son certificat de client ca keys/ca.crt # certificat du CA cert keys/client01.crt # certificat du client1 key keys/client01.key # clé privée du client1 dev tun # méthode par "routing" comp-lzo # compression des paquets user nobody # une fois démarré, l'appartenance du processus passe de l'utilisateur "root" à group nogroup # "nobody" et du groupe "root" à "nogroup". Ainsi, si le processus est # compromis, aucun dommage ne pourra être causé avec les privilèges du # super-utilisateur persist-key # ne doit pas relire la clé en cas de réinitialisation de la connexion persist-tun # ne doit pas reconfigurer l'interface en cas de réinitialisation de la connexion verb 3 # niveau de verbosité des log On teste la configuration en saisissant la commande suivante: Openvpn client.conf Auteur : Jabran ABOUMEROUANE

78 78 11) INSTALLATION DU DOMAINE TFTIC.LOCAL : Auteur :Farid LOUBANN, SALANDRE Grady

79 79 INSTALATION DE 2 SERVEURS DOMAIN CONTROLEUR : 24.Prérequis : Installation du domaine TFTIC.LOCAL sur deux serveurs situé sur deux sites (site principal et succursale) distants interconnectés en VPN avec IPSEC. Une synchronisation serra faite entre les deux afin d utiliser le DC sur les deux sites avec les mêmes utilisateurs. Les serveurs hébergeant le contrôleur de domaine seront virtualité avec XenServer sur les deux sites. 25.Installation: Vous devez commencer par faire l installation de Windows 2008 R2, en utilisant la version standard. Vous pouvez configurer l Active Directory, en ajoutant un nouveau rôle avec l interface de Server Manager et sélectionner Active Directory Certificate Services et vous créer une nouvelle forêt avec serveur DNS. Pour le second Active Directory vous devez l intégré dans le domaine existant. Installation du service DHCP sur les deux serveurs, sur le site principal, nous possédons plusieurs interfaces réseau (voir document infrastructure réseau), donc nous allons installer le service DHCP sur l interface du LAN et du MGMT, par contre sur le site de la succursale nous installerons le service DHCP uniquement sur le LAN. 26.Configuration : Comme demander nous avons installé différentes Unité Organisationnel, Accounting, ICT, Production, sales. Pour chaque OU, nous allons créer un groupe et des utilisateurs qui serviront lors de l installation du Fileserver (voir la procédure du fileserver) Pour le service DNS, nous devons au minimum configurer les records A (Forward) et PTR (Reverse), pour toutes les machines ne travaillant pas en DHCP, il faut configurer le DNS avec les adresses IP(LAN) et les noms de machines.

80 80 12) FILESERVER INTEGRE A L AD : Auteur : SALANDRE Grady INSTALATION DES SERVEURS DE FICHIERS :

81 81 27.Prérequis : Nous allons utiliser des machines virtuelles installée sur XenServer, ces machines tourneront sur Debian (Lenny). Sur chaque site, nous allons installer un file server qui va permettre aux utilisateurs de l Active Directory de bénéficier d un Home Directory qui sera créer automatiquement et de répertoires partagé pour chaque OU. 28.Configuration de l interface réseau: Il faut configurer l interface réseau (/etc/network/interfaces). Ensuite il est important d utiliser le nameserver de notre Active Directory (/etc/resolv.conf). 29.Installation et configuration de Kerberos Client : Pour commencer la configuration de notre serveur de fichier, il faut installer Kerberos Client, qui va permettre de travailler avec un système de ticket au lieu d utiliser des mots de passe. Pour cela, vous devez installer les packages krb5-clients krb5-user, il vous sera demander à deux reprise de rentrer le non du Domain Controleur, qui est tftic.local. Ouvrer le fichier de configuration (/etc/krb5.conf) et y ajouter les lignes suivantes : 3) Dans la section [libdefaults] default_realm = TFTIC.LOCAL 4) Dans la section [realm] TFTIC.LOCAL = { kdc = dc.tftic.local admin_server = dc.tftic.local } 5) Dans la section [domain_realm].tftic.local = TFTIC.LOCAL tftic.local = TFTIC.LOCAL Il est indispensable d être synchronisé avec le Domain Controleur, pour cela il faut installer d installer le package ntpdate et rentrer la commande ntpdate dc.tftic.local Attention, pour le second Domain Controleur remplacer dc.tftic.local par dc1.tftic.local. 30.Installation et configuration de Samba : Pour pouvoir utiliser Samba, vous devez installer le package samba, smbclient, smbfs. Lors de l installation il vous sera demande de rentrer le nom de domaine (tftic.local), et si vous voulez que Samba utilise certaines fonctions du serveur DHCP, vous devez répondre NON. Pour configurer Samba, vous devez ouvrir le fichier (/etc/samba/smb.conf) et y ajouter les lignes suivantes : [global]

82 82 server string = Samba realm = TFTIC.LOCAL workgroup = TFTIC security = ADS encrypt passwords = yes idmap uid = idmap gid = winbind enum users = yes winbind enum groups = yes winbind separator = + winbind use default domain = yes template shell = /bin/bash template homedir = /home/user/%u obey pam restrictions = yes [Homes] comment = Home Directories browseable = yes read only = no writable = yes create mask = 0777 directory mask = 0777 [shared_public] comment = public folder browseable = yes path = /shared/public read only = no

83 83 [shared_ict] comment = ict folder browseable = yes path = /shared/ict read only = no valid users = "@TFTIC+GROUPE_ICT" 31.Installation et configuration de Winbind : Winbind va permettre d utiliser les utilisateurs et les groupes de l Active Directory sur notre système LINUX, grace à PAM et NSS. Pour cela vous devez installer le package winbind. Maintenant, pour utiliser winbind, vous devez configurer le fichier nsswitch.conf (/etc/nsswitch.conf) et y ajouter les lignes suivantes : passwd : compact winbind group : compact winbind Pour pouvoir utiliser les configurations que nous venons de faire il faut redémarrer le service de samba et de winbind. Ensuite nous pouvons joindre notre machine à l Actice Directory en tapant la commande : net ads join U administrator (il vous sera demander de rentrer le mot de passe de l administrator de l AD). Il reste à configurer les fichiers suivant : Ouvrer le fichier /etc/pam.d/common-auth et y ajouter la ligne suivante : auth sufficient pam_winbind.so Ouvrer le fichier /etc/pam.d/common-account et y ajouter la ligne suivante : common sufficient pam_winbind.so Ouvrer le fichier /etc/pam.d/common-session et y ajouter la ligne suivante : Session required pam_mkhomedir.so skel=/etc/skel umask=0022 Dés à présent vous pouvez vous connecter sur Linux et sur Windows pour avoir accès à votre home directory et vos Share. Par facilité d utilisation, vous pouvez installer le package sudo et ensuite ouvrir le fichier /etc/sudoers et y ajouter la ligne suivante pour que l administrator de l AD aie les droits root administrator ALL_NOPASSWD :

84 84 13) Mysql server (debian) Changer le nom de la machine (pour de questions pratiques) Vim /etc/hostname Vim /etc/hosts Configurer les cartes réseaux Vim /etc/network/interfeces Auto eth0 Iface eth0 inet static Address Netmask Gateway Auto eth1 Iface eth1 inet static Address Netmast Apt-get -purge remove resolv.conf Vim /etc/resolv.conf Nameserver Apt-get upgrade Installation de mysql Apt-get install mysql-server Introduire un nouveau mot de passe Verifier si ça marche en se loggant: Mysql u root ptest1234 [ h (si à distance)] Mysql> create user webserver.tftic.local identified by `some_pass`; Mysql> grant all privilege on *.* to `root`@ webserver.tftic.local with grant option; Mysql> grant reload, process on *.* to localhost ; Exit Source ( Vim /etc/mysql/my.conf et commenter la ligne suivante : #bind-address = (pour que n importe quel adresse ip puisse y accéder) ensuite redemarer le service /etc/init.d/mysql restart Auteur : Jabran ABOUMEROUANE

85 85 Configuration du réseau Apt-get update Apt-get upgrade Apt-get install apache2 14) Webserver (apache2) (voir parti database) Pour l Instalation (pour administrer mysql) Apt-get install php5 php5-dev php5-gd php5-mysql Puis : a2enmod php5 pour active le module Apt-get install phpmyadmin Apt-get install mysql-client Ensuite de éditer le fichier /etc/phpmyadmin/config.inc.php et modifier dans la ligne $cfg['servers'][$i]['host'] = 'localhost'; Localhost par l ip de la machine au quel en veux accéder Pour changer la page web pas défaut c est dans /var/www/ et remplacer le fichier index.html Auteur : Jabran ABOUMEROUANE

86 86 15) Joomla (suite apache2) A2enmod include /etc/init.d/apache2 restart Aptitude install bzip2 Telecharger joomla et le décompresser $ wget $ cd /var/www $ su # mkdir -m 0755 joomla # cd joomla # tar -xvjf /home/user/joomla_ stable- Full_Package.tar.bz2 Mettre les propriétaires et les permissions # chown -R www-data:www-data /var/www/joomla Continuer l installation de joomla sur Auteur : Jabran ABOUMEROUANE

87 87 16) MAILSERVER NSTALLATION AND CONFIGURATION Some steps to take before deploying mail server on the internet 1. Check if your IP addresses are not blacklisted 2. Check if your mail server has MX (mail exchange) 3. Check if mail server greetings matches your hostname 4. Check if your mail server has a reverse DNS the reason for knowing and controlling hostnames by from their IP address. 5. Finally create a SPF DNS record if possible. Before starting, any configuration for the server mail the static host name table lookup file /etc/hosts must be corrected first. The steps below describe how to do this. Click Applications, select System Tools then click File Browser. This will launch the File Browser window In the Location field, type in /etc and press Enter. If you don t see the Location field, click the notepad button to toggle to text-based location bar.

88 Locate and double click on the file hosts to open it for editing. Update the content similar to the lines below localhost.localdomain localhost ::1 localhost6.localdomain6 localhost mail.acme.local mail Next step you need to check and test the Host Name Lookup a. Click Applications, select Accessories, and click Terminal. This will launch the Terminal window b. The type : ping local host and then you should see You should see (localhost.localdomain and )

89 89 c. Next, type in the command below. Then type (Ping mail) You need to install the postfix admin which will simplifies managements of mailboxes domains and aliases You need to install SMTP The first step is to creat the users and the groups in the mail server. Below is how stuff works by using (GUI) 1. 2.

90 90 3. This is by using command line : /usr/sbin/useradd [options] login_name creates a new user /usr/sbin/usermod [options] login_name modifies a user s attributes /usr/sbin/userdel [options] login_name deletes the specified user. Use the -r option to automatically remove the user s home directory and mail spool. /usr/bin/passwd login_name sets the password for the specified user /usr/sbin/groupadd [options] group_name creates a new group /usr/sbin/groupmod [options] group_name modifies a group s attributes /usr/sbin/groupdel group_name deletes the specified group The Postfix MTA Several MTAs are available for Linux. Historically, the most common MTA on Unix has been Sendmail, which has been around for a long time. It is generally considered somewhat more difficult to use than the alternatives, but it is thoroughly documented in the book sendmail by Bryan Costales with Eric Allman (O'Reilly). Postfix is a newer MTA, developed by security guru Wietse Venema as a replacement for Sendmail. It's designed to be compatible with Sendmail but to provide a higher level of

91 91 security and be easier to configure. Postfix is a highly flexible and secure piece of software that contains multiple layers of protection against would-be attackers. Postfix was also written with performance in mind, and employs techniques to limit slower activities such as creating new processes and accessing the filesystem. It is one of the easier packages to configure and administer because it uses straightforward configuration files and simple lookup tables for address rewriting. It is remarkable in that it is simple to use as a basic MTA, yet still able to handle much more complicated environments. Many Linux distributions have Postfix built-in, so you may already have it installed on your system. If not, you can find prebuilt packages or compile it yourself from the source code. The Postfix home page ( contains links to download both the source code ("Download") and packages for different Linux distributions ("Packages and Ports"). Postfix has two different release tracks: official and experimental. The experimental releases contain all the latest patches and new features, although these might change before they are included in the official release. Don't be put off by the term "experimental"; these releases are very stable and have been tested thoroughly. If you are looking for a feature that is available only in the experimental release, you should feel more than comfortable using it. Read the release notes for both tracks to know what the current differences are. The World Wide Web and Electronic Mail A word about DNS. Before setting up Postfix, you should understand that if your system is going to receive mail from others across the Internet, the DNS for your domain has to be configured correctly. DNS is discussed in Chapter 15. Let's assume for this discussion that you are configuring a host called halo in the domain example.org and that you have a user account michael on your system. Regardless of how you want to receive mail, your host halo.example.org must have a DNS A record that maps its hostname to its IP address. In this example your address is going to be either michael@halo.example.org or

92 92 If you want to use the first form, configuring the DNS A record is enough for messages to reach you. If your system is going to receive all mail for example.org (michael@example.org), the domain should have a DNS MX record pointing to your host halo.example.org. If you are configuring the DNS for your domain yourself, make sure you read the documentation to understand how it works; otherwise, speak to your DNS administrator or ISP about routing mail to your system. Postfix frequently uses DNS in its normal operation, and it uses the underlying Linux libraries to perform its DNS queries. Make sure your system is configured correctly to perform DNS lookups (see Section in Chapter 15). Postfix usually has to find an MX record to make its deliveries. Don't assume that if Postfix reports a DNS problem with an address, and you find that the domain resolves correctly, that delivery should succeed. If Postfix reports a problem, you can be almost certain there is a problem. Installing Postfix Although prepackaged distributions are available, you may want to build the package yourself if you want to use any of the add-on libraries or functions that are not included in your distribution. You might also want to get the latest version to obtain a new feature that has not yet been included in your distribution. Before you install Postfix, be aware that it includes the three commands /usr/bin/newaliases, /usr/bin/mailq, and /usr/sbin/sendmail that are normally used by Sendmail. Postfix provides replacements that work with the Postfix system rather than with Sendmail. You should rename your existing Sendmail commands so that the Postfix installation doesn't overwrite them in case you ever want to use the original Sendmail binaries again: # mv /usr/bin/newaliases /usr/bin/newaliases.orig # mv /usr/bin/mailq /usr/bin/mailq.orig # mv /usr/sbin/sendmail /usr/sbin/sendmail.orig Postfix uses Unix database files to store its alias and lookup table information. You must,

93 93 therefore, have the db3 libraries installed on your system before building Postfix. These libraries are contained within the db3-devel RPM package or the Debian libdb3 package. If you are not using a package manager, you can obtain them directly from Sleepycat Software ( If you are using RPM, execute the following command to see if the necessary libraries have been installed on your system: The World Wide Web and Electronic Mail The easy way to send to different user from mail server: You need to install (apt-get install send ) send by Brandon Zehm <caspian@dotconf.net> Synopsis: send -f ADDRESS [options] Required: -f ADDRESS from (sender) address * At least one recipient required via -t, -cc, or -bcc * Message body required via -m, STDIN, or -o messagefile=file Common: -t ADDRESS [ADDR...] to address(es) -u SUBJECT message subject

94 94 -m MESSAGE message body -s SERVER[:PORT] smtp mail relay, default is localhost:25 Optional: -a FILE [FILE...] file attachment(s) -cc ADDRESS [ADDR...] cc address(es) -bcc ADDRESS [ADDR...] bcc address(es) -xu USERNAME authentication -xp PASSWORD authentication username for SMTP password for SMTP Paranormal: -b BINDADDR[:PORT] local host bind address -l LOGFILE log to the specified file -v verbosity, use multiple times for greater effect -q be quiet (i.e. no STDOUT output) -o NAME=VALUE advanced options, for details try: --help misc -o message-file=file -o message-format=raw

95 95 -o message-header=header -o messagecharset=charset -o reply-to=address -o timeout=seconds -o username=username -o password=password -o tls=<auto yes no> -o fqdn=fqdn Help: --help now --help addressing options --help message related options the helpful overview you're reading explain addressing and related explain message body input and --help networking --help output options --help misc and more explain -s, -b, etc explain logging and other output explain -o options, TLS, SMTP auth, # rpm -qa grep db3-devel

96 96 db3-devel You should see a line similar to the second line in the preceding command that displays the db3-devel package with a version number. If rpm returns nothing, you must install the libraries before installing Postfix. On Debian, you can use dpkg to see if the libraries are installed. # dpkg -l libdb3 If you download a prepackaged Postfix, use your package manager (described in Chapter 7) to install it. If you download the source postfix tar.gz, move that file to a suitable directory (such as your home directory) to unpack it. The numbers in the name of the file represent the version of this release. Your file may have different numbers depending on the current release when you download it. Follow this basic procedure to build Postfix. Note that you'll have to be the root user to create the user and group and to install the package. 1. Rename your Sendmail binaries as described earlier. 2. Create a user account called postfix and a group called postdrop. See Section 5.7 for information on setting up accounts and groups. 3. Run gunzip on the compressed file to produce a file named postfix tar. 4. Execute: tar -xvf postfix tar to unpack the source into a directory called postfix Move to the directory created when you unpacked the file. You'll find a file called INSTALL with detailed instructions about building your Postfix system. In most cases, building Postfix should be as simple as typing make in the directory. 6. If your build completes without any errors, type make install to install Postfix on your system. You should be able to accept all the defaults when prompted by the installation script. After installation, you will have Postfix files in the following directories:

97 97 /usr/libexec/postfix This directory contains the various Postfix daemons. Postfix uses a split architecture in which several discrete programs handle separate tasks. The master daemon is started first. It deals with starting other programs as they are needed. For the most part, you don't need to worry about any of the programs here. Stopping and starting Postfix is handled with the postfix command found in the /usr/sbin directory. The World Wide Web and Electronic Mail /etc/postfix Typically this directory contains dozens of Postfix configuration files, but only master.cf and main.cf and a few lookup tables are used by Postfix. The rest of the files are examples that document the various parameters used for configuration. The master.cf file controls the various Postfix processes. It includes a line for each component of Postfix. The layout of the file is described by comments in the file itself. Usually, you shouldn't have to make any changes to run a simple Postfix installation. The main.cf file is the global SMTP configuration file. It includes a list of parameters set to one or more values using the format: parameter = value Comments are marked with a hash mark (#) at the beginning of the line. You cannot put comments on the same line as parameters. Commented lines can begin with whitespace (spaces or tabs), but they must appear on lines by themselves. Multiple values for parameters can be separated by either commas or whitespace (including newlines), but if you want to have more than one line for a parameter, start the second and subsequent lines with whitespace. Values can refer to other parameters by preceding the parameter name with a dollar sign ($). Here's an example of an entry that includes comments, multiple lines, and a parameter reference:

98 98 # Here are all the systems I accept mail from. mynetworks = $myhostname / /usr/sbin All the Postfix commands are located in /usr/sbin and have names starting with post. There are commands to create index files, manage the mail queue and otherwise administer your Postfix system. The postfix command, which is used to stop and start Postfix (described later), is found here. /var/spool/postfix The Postfix queue manager is an important component of the Postfix system that accepts incoming messages and arranges with other Postfix components to deliver them. It maintains its files under the /var/spool/postfix directory. The queues it maintains are shown next. Postfix provides several tools to manage the queues, such as postcat, postsuper, and mailq, but you might also use the usual Linux commands, such as find and cat to inspect your queue. /var/spool/postfix/incoming All incoming messages, whether from over the network or sent locally. Chapter 16. The World Wide Web and Electronic Mail /var/spool/postfix/active Messages that the queue manager is delivering or preparing to deliver. /var/spool/postfix/deferred Messages that could not be delivered immediately. Postfix will attempt to deliver them again. /var/spool/postfix/corrupt Messages that are completely unreadable or otherwise damaged and not deliverable.

99 99 They are stored here for you to look at if necessary to figure out the problem. This queue is rarely used. /usr/local/man Postfix installs documentation in the form of manpages on your system. The documentation includes information on command-line utilities, daemons, and configuration files. As mentioned earlier, Postfix also installs /usr/bin/mailq, and /usr/sbin/sendmail. replacements for /usr/bin/newaliases, Postfix configuration Before you start Postfix for the first time, you have to make sure that the aliases table is formatted correctly and that a few of the critical configuration parameters are set correctly for your system. Historically Sendmail has used the file /etc/aliases to map one local username to another. Postfix continues the tradition. The /etc/aliases file is a plain-text file that is used as input to create an indexed database file for faster lookups of aliases on your system. There are at least two important aliases on your system that must be set in your /etc/aliases file. If you have been running Sendmail on your system, these aliases are probably already set correctly, but make sure your file has entries for root and postmaster pointing to a real account that receives mail on your system. Once you have verified the aliases, execute the command newaliases to rebuild the index file in the correct format for Postfix. The /etc/postfix/main.cf file contains many parameters, but there are just a few important ones that you should verify before starting Postfix; we'll explain these in this section. If you installed Postfix from a prepackaged distribution, these parameters might already be set correctly. It's also possible that the Postfix defaults work for your system, but edit your

100 100 /etc/postfix/main.cf file to make sure. myhostname This is the fully qualified hostname for your system. By default, Postfix uses the name returned by the gethostname function. If this value is not fully qualified, and you have not set this parameter, Postfix will not start. You can check it by executing the The World Wide Web and Electronic Mail command hostname. It's probably a good idea to specify your fully qualified hostname here explicitly: myhostname = halo.example.org mydomain Specifies the domain name for this system. This value is then used as the default in other places. If you do not set it explicitly, Postfix uses the domain portion of myhostname. If you have set myhostname as shown previously and example.org is correct for your system, you do not have to set this parameter. mydestination Specifies a list of domain names for which this system should accept mail. In other words, you should set the value of this parameter to the domain portions of addresses for which you want to receive mail. By default, Postfix uses the value specified in myhostname. If you are setting up your system to accept mail for your entire domain, specify the domain name itself. You can use the variables $myhostname and $mydomain as the value for this parameter: mydestination = $myhostname $mydomain myorigin This parameter is used to append a domain name to messages sent locally that do not already include one. For example, if a user on your system sends a message with only the local username in the From: address, Postfix appends this value to the local name.

101 101 By default, Postfix uses myhostname, but if your system is handling mail for the entire domain, you might want to specify $mydomain instead: myorigin = $mydomain Some Linux distributions that already include Postfix configure it to use procmail by default. procmail is a separate mail delivery agent (MDA) that can filter and sort mail as it makes deliveries to individual users on your system. If you need the features it provides, you should study the procmail documentation carefully to understand how it interacts with Postfix. For many systems, which don't filter mail for users at the MTA level, procmail is an unnecessary additional layer of complexity because Postfix can also make local deliveries and provide some of the same functions. Your distribution might be configured to use procmail in either the mailbox_command or mailbox_transport parameters. If you want Postfix to handle local deliveries directly, you can safely comment out either of these parameters in your /etc/postfix/main.cf file. Starting Postfix Once you have verified the important configuration parameters described earlier and rebuilt your aliases index file, you are ready to start Postfix. As the superuser, execute: postfix start You can stop Postfix by executing: The World Wide Web and Electronic Mail postfix stop Whenever you make changes to either of Postfix's configuration files, you must reload the running Postfix image by executing: postfix reload Once you have Postfix running, all the users on your system should be able to send and receive messages. Any of your applications that depend on Sendmail should still work, and you can use the sendmail command as you always did. You can pipe messages to it from within scripts and

102 102 execute sendmail -q to flush the queue. The native Postfix equivalent for flushing the queue is postfix flush. Options to Sendmail that deal with it running as a daemon and setting queue delays do not work because those functions are not handled by the sendmail command in Postfix. All the Postfix options are set in its two configuration files. Many parameters deal with the Postfix queue. You can find them in the manpage for qmgr(8). Postfix logging After starting or reloading Postfix, you should check the log to see if Postfix reports any problems. (Most Linux distributions use /var/log/maillog, but you can also check the file /etc/syslog.conf to be sure.) You can see Postfix's most recent messages by running the command tail /var/log/maillog. Since Postfix is a long-running process, it's a good idea to check the log periodically even if you haven't been restarting it. You can execute the following to see if Postfix has reported anything interesting while running: egrep '(reject warning error fatal panic):' /var/log/maillog In general, Postfix keeps you informed of what is going on with your system by logging lots of good information to syslogd. On Linux syslogd uses synchronous writes by default, which means that after every write to the log file, there is also a sync to force everything in memory to be written to the disk. Therefore, the performance of Postfix (and other processes) can suffer. You can change this default by preceding the name of the log file with a hyphen in /etc/syslog.conf. Your entry in syslog.conf for mail logging should look like the following: mail.* -/var/log/maillog Be sure to have syslogd reread its configuration file after you make any changes. You can execute killall -HUP syslogd to reinitialize it. Running Postfix on system startup Because of Postfix's compatibility with Sendmail, if you have your system configured to start

103 103 Sendmail at system initialization, more than likely Postfix will start correctly when your system boots. However, system shutdown will probably not work correctly. Most Linux distributions shut down Sendmail by locating a process called sendmail and then killing that process. The Postfix processes, while in many ways compatible with Sendmail, do not run under the name sendmail, so this shutdown fails. The World Wide Web and Electronic Mail If you would like your system to shut down cleanly, you should create your own rc script for Postfix. The commands you need to include in your script to start and stop Postfix are exactly the same as those you execute on the command line, postfix start and postfix stop. Here's an example of a basic script to get you started. You may want to review other rc scripts on your system to see if you should add more system checks or follow other conventions and then make your adjustments to this example: #!/bin/sh PATH="" RETVAL=0 if [! -f /usr/sbin/postfix ] ; then echo "Unable to locate Postfix" exit 1 fi if [! -f /etc/postfix/main.cf ] ; then echo "Unable to locate Postfix configuration" exit 1 fi

104 104 case "$1" in start) echo -n "Starting Postfix: " /usr/sbin/postfix start > /dev/null 2>1 RETVAL=$? echo ;; stop) echo -n "Stopping Postfix: " /usr/sbin/postfix stop > /dev/null 2>1 RETVAL=$? echo ;; restart) echo -n "Restarting Postfix: " /usr/bin/postfix reload > /dev/null 2>1 RETVAL=$? echo ;; *) echo "Usage: $0 {start stop restart}"

105 105 RETVAL=1 esac exit $RETVAL Place this script in /etc/rc.d/init.d or /etc/init.d, depending on your Linux distribution. Then make the appropriate symlinks in each of the rcn.d directories for each runlevel in which Postfix should start (see Section 5.3.2). For example, if you want to have Postfix start at runlevels 3 and 5 and stop at runlevels 0 and 6, create symlinks like those that follow for RedHat. For Debian the rcn.d directories are directly below /etc: /etc/rc.d/rc3.d -s../init.d/postfix /etc/rc.d/rc5.d -s../init.d/postfix /etc/rc.d/rc0.d -s../init.d/postfix /etc/rc.d/rc6.d -s../init.d/postfix S97postfix S97postfix K97postfix K97postfix The World Wide Web and Electronic Mail If you create a Postfix rc script, you should configure your system not to start Sendmail at startup. Postfix relay control The default installation allows any system on the same subnet as yours to relay mail through

106 106 your mail server. If you want to override the default, you can set the parameter mynetworks to be a list of hosts or networks that you trust to relay mail through your system. You can specify a list of IP addresses or network/netmask patterns, and any connecting SMTP client that matches will be allowed to relay mail. You can list network or IP addresses that reside anywhere. So, for example, if you want to be able to relay mail through your home Postfix system from your work machine, you can specify the IP address of your machine at work in your home Postfix configuration. Here's an example that allows mail from the local subnet ( /28) and a single host located elsewhere: mynetworks = / If you want to allow relaying for mobile users that do not have static IP addresses, you have to use some kind of SMTP authentication mechanism. Postfix can work with SASL Authentication (which requires that Postfix be compiled with additional libraries, and that users' client software be specially configured) and pop-before-smtp (which requires a POP server running on the same system to first authenticate users). It is important not to open relay access to anyone except users you trust. In the early days of the Internet, open relays were commonplace. Unfortunately the current prevalence of spam has precluded that kind of freedom. If your MTA is not protected, you leave yourself and other Internet systems vulnerable to abuse. Spammers constantly scan for open relays, and if you place one on the network, it is only a matter of time before it will be found. Fortunately, the default Postfix installation behaves correctly. However, if you make lots of changes to your Postfix configuration (especially in setting up antispam controls, ironically), you may inadvertently open yourself up to relay abusers. If you want your own Postfix installation to relay mail through another MTA, specify the IP address of the relay server using the relayhost parameter. Postfix normally figures out where to deliver messages on its own, based on the destination address. However, if your system is behind a firewall, for example, you may want Postfix to hand off all messages to

107 107 another mail server to make the actual delivery. When you specify a relay server, Postfix normally performs a DNS query to obtain the mail exchanger (MX) address for that system. You can override this DNS lookup by putting the hostname in square brackets: relayhost = [mail.example.org] Additional configurations The configuration described here creates a simple Postfix installation to send and receive messages for users on your system. But Postfix is an extremely flexible MTA with many more configuration options, such as hosting multiple virtual domains, maintaining mailing lists, blocking spam, and virus scanning. The manpages, HTML files, and sample The World Wide Web and Electronic Mail configuration files that come with Postfix contain a lot of information to guide you in the more advanced configurations. Getting the Mail to Your Computer with Fetchmail If your provider stores your mail for you until you fetch it, and you do not want to use your mailer to download the mail, you need a program that retrieves the mail from your provider's computer. There are a lot of programs for doing this; we will discuss fetchmail here briefly because it is both robust and flexible and can handle both POP3 and IMAP. You can get fetchmail from your friendly Linux archive; chances are that your distribution carries it, too. In case you download a source distribution of fetchmail, unpack, build, and install it according to the installation instructions. At the time of this writing, the current version is You can control fetchmail's behavior via both command-line options and a configuration file. It is a good idea to first try to fetch your mail by passing the necessary information on the command line, and when this works, to write the configuration file. As an example, let's assume that my provider is running the POP3 protocol, that my username there is joeuser, and that my password is secret. The hostname the machine where the

108 108 POP3 server is running is mail.isp.com. I can then retrieve my mail with the following command: fetchmail --protocol POP3 --username joeuser mail.isp.com fetchmail then asks me for my password and, after I specify it correctly, retrieves the mail waiting for me and passes it on to my MTA for further delivery. This assumes that a SMTP server is running on port 25 of my machine, but this should be the case if I have set up my MTA correctly. While you are experimenting with fetchmail, it might be a good idea to also specify the option keep. This prevents fetchmail from deleting the messages from your POP3 account. Normally, all messages are deleted from your provider's hard disk once they are safely stored on your own machine. This is a good thing because most providers limit the amount of mail you can store on their machines before retrieving them, and if you don't delete the messages after fetching them, you might reach this limit quite quickly. On the other hand, while testing, it is a good idea to be on the safe side and use keep so as not to lose any mail. With the aforementioned options to fetchmail, you should be able to get your mail in most cases. For example, if your provider uses the newer IMAP protocol, simply specify IMAP in the command line instead of POP3. If your provider has some unusual setup, you might need one of the other options that the fetchmail(1) manual page tells you about. Once you are satisfied with the download process, you can write a fetchmail configuration file in order not to have to enter all the options each time you use the command. This configuration file is called.fetchmailrc and should reside in your home directory. Once you are done editing it, make sure it has the permission value 0600 so that nobody except yourself can read it because this file might contain your password: The World Wide Web and Electronic Mail chmod 0600 ~/.fetchmailrc

109 109 The full syntax of the configuration file is detailed in the fetchmail manpage, but in general you need only very simple lines that start with poll. To specify the same data as on the command line in the previous example, but this time include the password, put the following line into your configuration file: poll mail.isp.com protocol pop3 username joeuser password secret Now you can run fetchmail without any parameters. Since fetchmail already knows about your password from the configuration file, it will not prompt you for it this time. If you want to play it safe while testing, add the word keep to the poll line. Using fetchmail with a configuration file has one additional advantage: you can fetch mail from as many mailboxes as you want. Just add more poll lines to your.fetchmailrc, and fetchmail happily retrieves your mail from one server after the other. When and how you run fetchmail depends on your connection to the Internet. If you have a permanent connection or a cheap, flat rate, you might want to have fetchmail invoked by cron at a suitable interval (like once an hour). However, if your Internet connection is nonpermanent (dial-up) and costly, you might want to choose to run fetchmail by hand whenever you actually want to fetch and read your mail so as to minimize your Internet connection time. Finally, if you are using PPP for dialing in to your Internet service provider, you might want to invoke fetchmail from the ip-up script, which is invoked as soon as an Internet connection is made. With this setup, when you browse a web page and your Auteur : Kenneth BAAMI

110 110 17) NAGIOS : 1. apt-get install nagios3 2. cp /etc/nagios3/apache2.conf /etc/apache2/sites-aviable/nagios 3. a2ensite nagios 4. htpasswd -c /etc/nagios3/htpasswd.users nagiosadmin 5. configuration (/etc/nagios3/conf.d/) : 1. configuration des contacts (contact.mngt.cfg) 2. configuration des périodes de temps (define.timeperiods.cfg) 3. configuration des hôtes (host.<hostname>.cfg) 4. configuration des groupes d'hôtes (define.hostgroup.cfg) 5. intégration des hôtes dans un ou plusieurs groupes 1. soit dans «define.hostgroup.cfg» avec l'option «members» 2. soit dans «host.<hostname>.cfg» avec l'option «host_groups» 6. configuration des services par groupe d'hôtes (define.service.cfg) 7. configuration des ''Extra Informations'' (define.extrainfo.cfg) 8. configuration des relations Parents/Enfants 1. dans «host.<hostname>.cfg» avec l'option «parents» 9. configuration des dépendances inter-hôtes (define.hostdependency.cfg) 1. option «host_name» hôte parent 2. options «dependent_host_name» hôte dépendant Auteur : Magali CALO, Julien LEBRUN

111 18) Asterisk Installation et configuration

112 Introduction Asterisk, c est quoi? Asterisk est un logiciel libre sous licence GNU/GPL permettant à un ordinateur d'opérer en tant que commutateur téléphonique privé (PBX). Il permet ainsi la téléphonie au sein d'un LAN, la messagerie vocale, les conférences, et la distribution d'appels. Asterisk implémente les protocoles H.323 et SIP, ainsi qu'un protocole spécifique nommé IAX (Inter-Asterisk exchange) : ce protocole IAX permet la communication entre deux serveurs Asterisk ainsi qu'entre client et serveur Asterisk. Ces protocoles peuvent être sollicités auprès d'un fournisseur d'accès internet ou bien auprès d'un opérateur de voix sur IP. Les fonctionnalités et caractéristiques d Asterisk Appels en mode conférence Listes noires Appels en attente Ne pas déranger Enregistrement d'appel Macros File d'attente Messagerie SMS Heure et date d'appels Messagerie vocale Identification de l'appelant Indicateur visuel de message en attente Identification de l'appelant sur appel en attente Redirection des messages vocaux par courriel Insertion de messages vocaux dans courriels Interface Web pour la gestion des messages Musique d'attente... etc Il s'agit d'une liste non-exhaustive des fonctionnalités offertes par Asterisk.

113 Maison mère Plan du site Prérequis xxxii. Configuration réseau 1) Entrer les informations nécessaires de l interface réseau # vim /etc/network/interfaces

114 Il faut maintenant restarter le service : # /etc/init.d/networking restart 2) Changer le hostname # vim /etc/hosts (ne pas oublier d ajouter l hsot du firewall afin de faciliter les choses)