LINUX Installation et configuration réseau

LINUX Installation et configuration réseau 1

Les différentes étapes Pour configurer le réseau il faut réaliser les étapes suivantes: faire un schéma du réseau existant identifier le/les matériel(s) réseau déterminer les pilotes gérant la/les carte(s) installée(s) dans la machine charger les pilotes nécessaires s'ils ne sont pas intégrés au noyau connecter physiquement la machine à un réseau 2

attribuer à chaque carte réseau une adresse et un masque en fonction de l'environnement de travail activer le routage entre interfaces si besoin installer les routes nécessaires pour accèder aux réseaux distants attribuer un nom à la machine: arbitraire ou utiliser les informations du serveur de nom 3

Etablissement du schéma du réseau Absolument indispensable si le réseau est un tant soit peu complexe: plusieurs réseaux, services existants... Utiliser les documents existants Faire un relevé manuel à partir des informations obtenues en naviguant sur les différentes machines du réseau Commandes utiles: ifconfig, route, netstat, traceroute... Préparer l'installation en déterminant la/les adresses à employer, les routes à utiliser 4

Identification du matériel existant LIRE la documentation livrée avec la machine Examiner la carte = démontage Recherche sur INTERNET: PCI-HOWTO, ETHERNET- HOWTO (francais et anglais : attention aux problèmes de traduction) Utiliser les commande lspci, discover donnant une liste des matériels connectés au bus PCI Si aucune information n'est disponible installer la machine en configurant l'interface dummy = la pseudointerface permettant de configurer le réseau sans avoir interface matérielle 5

La commande lspci la commande fait partie du paquet pciutils (DEBIAN) Le paquet pciutils contient également: update-pciids: charge une nouvelle version du fichier d'identification des identificateurs PCI pcimodules: liste les modules utilisés pour piloter les cartes installées setpci: permettant d'interroger et configurer des cartes PCI 6

Exemple <manset:-bash-948:~>$ lspci 0000:00:00.0 Host bridge: nvidia Corporation nforce2 AGP (different version?) (rev a2) 0000:00:00.1 RAM memory: nvidia Corporation nforce2 Memory Controller 1 (rev a2) 0000:00:00.2 RAM memory: nvidia Corporation nforce2 Memory Controller 4 (rev a2) 0000:00:00.3 RAM memory: nvidia Corporation nforce2 Memory Controller 3 (rev a2) 0000:00:00.4 RAM memory: nvidia Corporation nforce2 Memory Controller 2 (rev a2) 0000:00:00.5 RAM memory: nvidia Corporation nforce2 Memory Controller 5 (rev a2) 0000:00:01.0 ISA bridge: nvidia Corporation nforce2 ISA Bridge (rev a4) 0000:00:01.1 SMBus: nvidia Corporation nforce2 SMBus (MCP) (rev a2) 0000:00:02.0 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) 0000:00:02.1 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) 0000:00:02.2 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) 0000:00:04.0 Ethernet controller: nvidia Corporation nforce2 Ethernet Controller (rev a1) 0000:00:06.0 Multimedia audio controller: nvidia Corporation nforce2 AC97 Audio Controler (MCP) (rev a1) 0000:00:08.0 PCI bridge: nvidia Corporation nforce2 External PCI Bridge (rev a3) 0000:00:09.0 IDE interface: nvidia Corporation nforce2 IDE (rev a2) 0000:00:1e.0 PCI bridge: nvidia Corporation nforce2 AGP (rev a2) 0000:01:06.0 SCSI storage controller: Adaptec AIC-7892A U160/m (rev 02) 0000:02:00.0 VGA compatible controller: nvidia Corporation NV18 [GeForce4 MX - nforce GPU] (rev a3) 7

mode verbeux <manset:-bash-944:~>$ lspci -v 0000:00:00.0 Host bridge: nvidia Corporation nforce2 AGP (different version?) (rev a2) Flags: bus master, 66MHz, fast devsel, latency 0 Memory at d0000000 (32-bit, prefetchable) [size=64m] Capabilities: <available only to root> 0000:00:00.1 RAM memory: nvidia Corporation nforce2 Memory Controller 1 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 0000:00:00.2 RAM memory: nvidia Corporation nforce2 Memory Controller 4 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 0000:00:00.3 RAM memory: nvidia Corporation nforce2 Memory Controller 3 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 0000:00:00.4 RAM memory: nvidia Corporation nforce2 Memory Controller 2 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 0000:00:00.5 RAM memory: nvidia Corporation nforce2 Memory Controller 5 (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel 8

0000:00:01.0 ISA bridge: nvidia Corporation nforce2 ISA Bridge (rev a4) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: bus master, 66MHz, fast devsel, latency 0 Capabilities: [48] #08 [01e1] 0000:00:01.1 SMBus: nvidia Corporation nforce2 SMBus (MCP) (rev a2) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: 66MHz, fast devsel, IRQ 23 I/O ports at ec00 [size=32] Capabilities: [44] Power Management version 2 0000:00:02.0 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) (prog-if 10 [OHCI]) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: bus master, 66MHz, fast devsel, latency 0, IRQ 22 Memory at e0002000 (32-bit, non-prefetchable) [size=4k] Capabilities: [44] Power Management version 2 0000:00:02.1 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) (prog-if 10 [OHCI]) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: bus master, 66MHz, fast devsel, latency 0, IRQ 21 Memory at e0003000 (32-bit, non-prefetchable) [size=4k] Capabilities: [44] Power Management version 2 0000:00:02.2 USB Controller: nvidia Corporation nforce2 USB Controller (rev a4) (prog-if 20 [EHCI]) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: bus master, 66MHz, fast devsel, latency 0, IRQ 20 Memory at e0004000 (32-bit, non-prefetchable) [size=256] Capabilities: [44] #0a [2080] Capabilities: [80] Power Management version 2 9

0000:00:04.0 Ethernet controller: nvidia Corporation nforce2 Ethernet Controller (rev a1) Subsystem: Micro-Star International Co., Ltd.: Unknown device 570c Flags: bus master, 66MHz, fast devsel, latency 0, IRQ 22 Memory at e0000000 (32-bit, non-prefetchable) [size=4k] I/O ports at e000 [size=8] Capabilities: [44] Power Management version 2 0000:00:06.0 Multimedia audio controller: nvidia Corporation nforce2 AC97 Audio Controler (MCP) (rev a1) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: bus master, 66MHz, fast devsel, latency 0, IRQ 21 I/O ports at e400 [size=256] I/O ports at e800 [size=128] Memory at e0001000 (32-bit, non-prefetchable) [size=4k] Capabilities: [44] Power Management version 2 0000:00:08.0 PCI bridge: nvidia Corporation nforce2 External PCI Bridge (rev a3) (prog-if 00 [Normal decode]) Flags: bus master, 66MHz, fast devsel, latency 0 Bus: primary=00, secondary=01, subordinate=01, sec-latency=32 I/O behind bridge: 0000d000-0000dfff Memory behind bridge: de000000-dfffffff 0000:00:09.0 IDE interface: nvidia Corporation nforce2 IDE (rev a2) (prog-if 8a [Master SecP PriP]) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5700 Flags: bus master, 66MHz, fast devsel, latency 0 I/O ports at f000 [size=16] Capabilities: [44] Power Management version 2 10

0000:00:1e.0 PCI bridge: nvidia Corporation nforce2 AGP (rev a2) (prog-if 00 [Normal decode]) Flags: bus master, 66MHz, medium devsel, latency 32 Bus: primary=00, secondary=02, subordinate=02, sec-latency=32 Memory behind bridge: dc000000-ddffffff Prefetchable memory behind bridge: d4000000-dbffffff 0000:01:06.0 SCSI storage controller: Adaptec AIC-7892A U160/m (rev 02) Subsystem: Adaptec 29160 Ultra160 SCSI Controller Flags: bus master, 66MHz, medium devsel, latency 32, IRQ 19 BIST result: 00 I/O ports at d000 [disabled] [size=256] Memory at df000000 (64-bit, non-prefetchable) [size=4k] Capabilities: [dc] Power Management version 2 0000:02:00.0 VGA compatible controller: nvidia Corporation NV18 [GeForce4 MX - nforce GPU] (rev a3) (prog-if 00 [VGA]) Subsystem: Micro-Star International Co., Ltd.: Unknown device 5710 Flags: bus master, 66MHz, medium devsel, latency 32, IRQ 16 Memory at dc000000 (32-bit, non-prefetchable) [size=16m] Memory at d4000000 (32-bit, prefetchable) [size=64m] Memory at d8000000 (32-bit, prefetchable) [size=512k] Capabilities: [60] Power Management version 2 Capabilities: [44] AGP version 2.0 11

discover manset:~# discover -v Loading XML data... ata pci pcmcia scsi usb Done Scanning buses... ata pci pcmcia scsi usb Done nvidia Corporation NV18 [GeForce4 MX - nforce GPU] Adaptec AIC-7892A U160/m nvidia Corporation nforce2 AGP nvidia Corporation nforce2 IDE nvidia Corporation nforce2 External PCI Bridge nvidia Corporation nforce2 AC97 Audio Controler (MCP) nvidia Corporation nforce2 Ethernet Controller nvidia Corporation nforce2 USB Controller nvidia Corporation nforce2 USB Controller nvidia Corporation nforce2 USB Controller nvidia Corporation nforce2 SMBus (MCP) nvidia Corporation nforce2 ISA Bridge nvidia Corporation nforce2 Memory Controller 5 nvidia Corporation nforce2 Memory Controller 2 nvidia Corporation nforce2 Memory Controller 3 nvidia Corporation nforce2 Memory Controller 4 nvidia Corporation nforce2 Memory Controller 1 nvidia Corporation nforce2 AGP (different version?) 12

manset:~# discover -v --type-summary --disable-bus all --enable-bus pci network Disabled ata Disabled pci Disabled pcmcia Disabled scsi Disabled usb Enabled pci Loading XML data... pci Done nvidia Corporation nforce2 Ethernet Controller 13

Détermination des pilotes 14

Ethernet-HOWTO Documentation Documentation du noyau : /usr/src/linux/documentation en général L'aide dans la configuration du noyau: make xconfig et utiliser l'aide associé à chaque option de configuration des pilotes de cartes éthernet Une machine déjà installée identique ou ayant la même carte réseau : ATTENTION certains constructeurs changent le matériel des cartes réseau sans changer le type de carte Un CD type Knoppix Une installation existante 15

Un programme shell chargeant les modules réseau les uns après les autres manset:/usr/include/sys# uname -a Linux manset 2.6.8 #1 Wed Sep 15 15:29:45 CEST 2004 i686 GNU/Linux manset:/lib/modules/2.6.8# cd /lib/modules/2.6.8/kernel/drivers/net/ /lib/modules/2.6.8/kernel/drivers/net /lib/modules/2.6.8 /usr/include/sys /usr/include ~ manset:/lib/modules/2.6.8/kernel/drivers/net# ls 3c501.ko cs89x0.ko hamachi.ko plip.ko starfire.ko 3c503.ko de600.ko hamradio/ ppp_async.ko sundance.ko 3c505.ko de620.ko hp-plus.ko ppp_deflate.ko sungem.ko 3c507.ko defxx.ko hp.ko ppp_generic.ko sungem_phy.ko 3c509.ko depca.ko hp100.ko ppp_synctty.ko sunhme.ko 3c515.ko dl2k.ko irda/ pppoe.ko tg3.ko 3c59x.ko dummy.ko ixgb/ pppox.ko tlan.ko 8139cp.ko e100.ko lance.ko r8169.ko tokenring/ 8139too.ko e1000/ lp486e.ko rrunner.ko tulip/ 82596.ko e2100.ko mii.ko s2io.ko tun.ko 8390.ko eepro.ko natsemi.ko sb1000.ko typhoon.ko ac3200.ko eepro100.ko ne.ko seeq8005.ko via-rhine.ko amd8111e.ko eexpress.ko ne2k-pci.ko shaper.ko wan/ appletalk/ epic100.ko netconsole.ko sis900.ko wd.ko arcnet/ eql.ko ni5010.ko sk98lin/ wireless/ at1700.ko eth16i.ko ni52.ko skfp/ yellowfin.ko atp.ko ethertap.ko ni65.ko slhc.ko znet.ko b44.ko ewrk3.ko ns83820.ko slip.ko bonding/ fealnx.ko pcmcia/ smc-ultra.ko bsd_comp.ko forcedeth.ko pcnet32.ko smc9194.ko manset:/lib/modules/2.6.8/kernel/drivers/net# manset:/lib/modules/2.6.8/kernel/drivers/net# for m in *.ko > do > m=$(basename $m.ko) > echo "Chargement du modules:" $m > echo modprobe -a $m > done Chargement du modules: 3c501 modprobe -a 3c501 Chargement du modules: 3c503 modprobe -a 3c503 Chargement du modules: 3c505 modprobe -a 3c505 Chargement du modules: 3c507... 16

Nom de la machine Initialisé au chargement du système à partir du contenu du fichier /etc/hostname qui contient, sur une ligne unique le nom court de la machine utilisé par certaines commandes, bash par exemple pour générer un caractère d'appel personnalisé (\h). Exemple : manset Le nom utilisé sur le réseau est défini par l'adresse attribuée à une interface et l'une des sources suivantes : le fichier /etc/hosts, le service de nom DNS Il est très important que le nom de la machine soit résolu correctemment en son adresse IP et inversement car nombre de logiciels utilise ces résolutions pour information ou vérification Commandes utiles : hostname, host, nslookup 17

Adressages 18

Chaque machine est identifiée par trois adresses: Adresse éthernet de 48 bits ne fait pas réellement partie de TCP/IP mais est utilisée dans certains protocoles (ARP, RARP,BOOTP), cette adresse n'est utilisée que dans le réseau auquel appartient la machine Adresse internet ou adresse IP : adresse de 32 bits utilisée de l'émetteur au récepteur, notée généralement sous forme pointée : 193.34.56.78 Adresse symbolique www.cru.fr transformée en adresse IP à l'aide du service de nom. Un nom complètement qualifié (FQDN : fully qualified domain name) est terminé par un «.» (DNS) 19

Ethernet 20

Mise au point par Xérox, DEC, INTEL trame Ethernet II Réseau de type bus Normalisé par la norme 802.3 et suivantes Vitesse de 10Mbits à 1GBits Réseau à détection de collision CSMA/CD Utilisables sur de nombreux support Les trames éthernet (802.3) ont une longueur variable comprise entre 64 et 1526 octets La trame comporte un préambule, un en-tête, une taille, des données et un champ de contrôle cyclique CRC 21

Préambule En-tête Données Lg CRC 8 12 2 Le préambule est une succession de 64 bits 0, 1 alternés, utilisés pour la synchronisation L'en-tête (12 octets) comporte les adresses source et destination LG :longueur des données 2 octets Entre 46 et 1500 octets de données qui sont les données émises par le protocole de niveau supérieur (IP très souvent) CRC : contrôle cyclique 4 octets 46-1500 4 22

Adresse ETHERNET Par construction les adresses ETHERNET sont uniques Contenue en dur dans les composants de la carte Créée par le constructeur du coupleur/carte 6 octets: 3+3 Numéro IEEE du constructeur Numéro d'ordre Logiciel de configuration (ifconfig,...) peut permettre de la modifier créant ainsi des problèmes de sécurité par usurpation d'adresse éthernet. Stratégie de sécurité fondée sur l'adresse éthernet par ailleurs discutable. 23

Adresse internet : IP/V4 Identifiant binaire compact de 32 bits noté en général sous forme pointée Utilisée par les protocoles sans les points séparateurs 193.34.45.96 11000001 00100010 00101101 01100000 Décomposition hiérarchique : Réseau, Machine Le masque d'adressage permet de trouver chacune des 2 composantes : réseau, machine Plusieurs classes d'adresse ont été définies 24

Masque Une classe = une décomposition des 32 bits en R,M par un masque prédéfini standard dans chaque classe Adresse & Masque = réseau Adresse et ~Masque = machine Exemple :193.57.13.23/255.255.255.0 R=193.57.13.23 & 255.255.255.0 = 193.57.13.0 M=193.57.13.23 & 0.0.0.255 = 23 25

Classes 26

A B C D E 0 Réseau ID Machine 1 à 126 1 à 16 777 214 1 0 Réseau 128.1 à 191.254 ID Machine 1 à 65 534 1 1 0 Réseau ID Machine 192.0.1à 223.255.254 1 à 254 111 0 Adresse de diffusion de groupe 224 à 240 11110 Réservé pour utilisation future 240 à 255 27

Masque standard des classes Classe A: 255.0.0.0 ou /8 Classe B: 255.255.0.0 ou /16 Classe C: 255.255.255.0 ou /24 La fragmentation d'une classe d'adresse est réalisée par augmentation de la taille du masque standard de la classe Classe B en 256 pseudos classe C : utilise un masque de 24 bits = 255.255.255.0 Le masque non standard est indispensable pour le routage 28

Exemples 17.23.67.45/255.0.0.0 : réseau 17 machine 23.67.45 134.56.78.128/16: réseau 134.56 machine 78.128 193.52.61.12/255.255.255.0 : réseau 193.52.61 machine 12 29

Adresses spécifiques Machine = 0 n'est pas attribué à une machine mais identifie le réseau, 17.0.0.0 : R=17, M=0.0.0 Machine = 11...1 adresse de diffusion restreinte, utilisée pour atteindre toute les machines appartenant à un réseau donné : 17.255.255.255 toutes les machines du réseau 17.0.0.0. Si un masque de 16 bits est utilisé nous aurons 256 adresses de diffusion restreinte, une par sous-réseau : 17.0.255.255, 17.1.255.255... 17.255.255.255 1...1 (32 bits égaux à 1) : adresse de diffusion globale, toute les machines quelque soit leurs adresses. Utilisé seulement lorsqu'une machine ne connait pas le réseau auquel elle appartient 30

Adresses spécifiques (2) Une valeur zéro dans un champ d'adresse doit être interprété comme celui-ci Partie machine ne comportant que des 0 : cette machine Partie réseau ne comportant que des 0 : ce réseau Cette dernière valeur est utilisée lorsque les machines ne connaissent pas encore l'adresse réseau 31

Résumé Tout à zéro Cette machine Zéro Machine Machine du réseau Tout à 1 Réseau Tout à 1 127 n'importe quoi Diffusion limitée Diffusion dirigée Boucle locale 32

Fragmentation d'une classe Les classes A et B correspondent à un nombre de machines très important, 16 777 214, 65 534 Irréaliste en raison des collisions Le masque permet de découper un réseau en plusieurs sous réseaux L'utilisation du masque est obligatoire car on fait un routage de réseau La fragmentation d'une classe est une extension du masque standard obtenue en utilisant une partie de la partie machine Un masque est obligatoirement une suite 1 suivi d'une suite de 0 33

Classe d'origine Réseau Machine Fragmentation : on étend le nombre de bits affectés au réseau : 2 bits par exemple donnent 4 sous-réseaux Réseau Ext Machine Classe A : R/8 à R/16 = 256 sous réseaux de 2 16 machines 34

La fragmentation défini des sous-ensembles disjoints et continus de l'ensemble des adresses du réseau R d'origine [0-63],[64-127],[128-191],[192-255] par exemple Un masque est une suite de 1, au minimum 8, suivi d'une suite de 0, deux au minimum 8 bits égaux à 1 = 255.0.0.0, masque de classe A 2 bits égaux à 0 = sous réseaux de 4 adresses Les nombres composants le masque sont égaux à une puissance de 2 en commençant par 128 Masques valides : 255.255.128.0, 255.192.0.0,255.255.224.0, 255.255.255.240,... Masques non valides : 255.64.0.0, 255.32.0.0, 255.255.255.16, 255.255.255.96 35

Extension d'un masque de classe A à 10 bits R=10.0.0.0 et masque de 10 bits SR0=10.0.0.0, ADiff=10.63.255.255 Extension= 00 SR1=10.64.0.0, ADiff=10.127.255.255 Extension= 01 SR2=10.128.0.0, ADiff=10.191.255.255 Extension= 10 SR3=10.192.0.0, ADiff=10.255.255.255 Extension= 11 Masque commun : 10 bits, 255.192.0.0 192 = 128+64 36

R=10.0.0.0 et masque de 10 bits 4 sous réseaux : 10.0, 10.64, 10.128, 10.192 SR0=10.0.0.0, ADiff=10.63.255.255 Extension = 00 10 00 111111 11111111 11111111 SR1=10.64.0.0, ADiff=10.127.255.255 Extension = 01 10 01 111111 11111111 11111111 SR2=10.128.0.0, ADiff=10.191.255.255 Extension = 10 10 10 111111 11111111 11111111 SR3=10.192.0.0, ADiff=10.255.255.255 Extension = 11 10 11 111111 11111111 11111111 37

139.16.0.0/16 fragmentée 139.16.0.0/18 0 0 R 0 0 R 63 255 AD 64 0 R 127 255 AD 139.16. 139.16. 128 0 R 191 255 AD 192 0 R 255 255 AD 255 255 AD 38

Exemples simples 39

Classe A 12.0.0.0 en simili classe B : 256 sous réseaux de 2 16 adresses Utilisation d'un masque de 16 bits Réseaux : 12.0, 12.1,..., 12.254, 12.255 12.45.194.189/16 : R=12.45, M=194.189 Classe B découpée en 256 sous réseaux de 256 adresses, simili classe C 134.16.0.0/24 correspond à définir les sous réseaux 134.16.0.X/24 134.16.1.X/24... 134.16.255.X/24 134.16.45.169 : R=134.16.45, M=169 40

Exemples plus compliqués 41

Fragmentation d'une classe C en sous réseau de 64 machines Extension du masque à 26 bits 4 sous réseaux définis : 193.52.61.0, 193.52.61.64, 193.52.61.128, 193.52.61.192 193.52.61.45/26 : sous réseau 1 R=193.52.61.0, M=45 193.52.61.134/26 R=193.52.61.128, M= 6 193.52.61.194/26 R=193.52.61.192, M=2 42

Il est possible de fragmenter une classe en sous réseaux de tailles différentes : 128,64,32,32 Utilisation de masques différents selon le réseau 194.57.86.0/25 : SR1 de 128 machines 194.57.86.128/26 : SR2 de 64 machines 194.57.86.192/27 : SR3 de 32 machines 194.57.86.224/27 : SR4 de 32 machines Dans les liaisons Point à Point (PPP) on utilise un masque de 32 bits car on définit un réseau comportant seulement 2 machines 43

255.255.255.128 SR0, masque de 25 bits R=194.57.86.0 AD=194.57.86.127 255.255.255.192 255.255.255.224 255.255.255.224 SR1, masque de 26 bits R=194.57.86.128 AD=194.57.86.191 SR2, masque de 27 bits R=194.57.86.192 AD=194.57.86.223 SR3, masque de 27 bits R=194.57.86.224 AD=194.57.86.255 44

Adresse publiques/privées Définitions adresse publique : adresse dont l'utilisation permet de communiquer avec d'autres machines connectées à INTERNET adresse privée : adresse dont l'utilisation est interdite sur INTERNET (les routeurs de bordure doivent détruire les paquets contenant une adresse de ce type) Classes privées : la classe A 10.0.0.0 les classes B 172.16.0.0 à 172.32.0.0 les classes C 192.168.0.0 45

Notation Classless-Inter-Domain- Routing Le concept de classe est inadapté à l'évolution de l'internet Les classes A,B et C génèrent un gâchis d'adresse dans le cas de réseau de petite dimension La notation CIDR est un couple ADRESSE/MASQUE ADRESSE = adresse du réseau MASQUE = nombre de bits du masque >=8, <=30 Le couple est indissociable et doit être utilisé dans les tables de routage 46

Exemple d'attribution d'adresse en notation CIDR Le notion de classe n'existe plus On délivre un ensemble adresse/masque déterminant les réseaux 12.128.0.0/12 : 1 048 576 194.57.86.0/25 :128 machines 194.57.86.128/26 : 64 machines 194.57.86.192/27 : 32 machines 194.57.86.224/27 : 32 machines 47

La notation CIDR n'a pas comme seule fonction d'attribuer des blocs d'adresses La distribution des blocs d'adresses est une organisation hiérachique Un bloc de taille importante est attribué à une entité qui peut la découper à sa guise Dans les tables de routage seule apparaît le bloc et pas les sous blocs whois permet de connaître les attributions d'adresses 48

whois 88.34.255.0 49

% Information related to '88.32.0.0-88.63.255.255' inetnum: 88.32.0.0-88.63.255.255 netname: IT-INTERBUSINESS-20050930 descr: Telecom Italia S.p.a. country: IT org: ORG-IA34-RIPE admin-c: INAS1-RIPE tech-c: INAS1-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-lower: INTERB-MNT mnt-routes: INTERB-MNT source: RIPE # Filtered organisation: ORG-IA34-RIPE org-name: Telecom Italia S.p.a. org-type: LIR address: Telecom Italia SPA Gianluca Pace Via di Val Cannuta, 250 I-00166 Roma 88.32.0.0/11 (8+3) car 32 = 00100000 et 63 = 00111111 50

Utilisation des adresses 51

0.0.0.0/8 ce réseau 10.0.0.0/8 Adresses privées 127.0.0.0/8 adresse de bouclage (localhost) 169.254.0.0/16 adresses locales autoconfigurées 172.16.0.0/12 Adresses privées 192.0.0.0/24 Réservé par l'ietf 192.0.2.0/24 Réseau de test TEST-NET-1 192.88.99.0/24 6 to 4 anycast 192.168.0.0/16 Adresses privées 198.18.0.0/15 Tests de performance 198.51.100.0/24 Réseau de test TEST-NET-2 203.0.113.0/24 Réseau de test TEST-NET-3 224.0.0.0/4 Multicast 240.0.0.0/4 Réservé à un usage ultérieur non précisé 255.255.255.255/32 broadcast limité 52

Translation d'adresse - NAT Les adresses privées ne peuvent être utilisées sur INTERNET Les routeurs «bordure» des prestataires doivent détruire les paquets contenant une adresse privée La translation d'adresse ( Network Address Translation ) est un mécanisme de substitution d'adresses publiques à des adresses privées Utilisés dans les «PROXY» et dans les routeurs effectuant la translation d'adresse 53

IP-PRIV IP-DEST Adresses privées IP-PUB IP-DEST Adresse privée IP-PRIV INTERNET IP-DEST IP-PUB Adresse publique IP-PUB 54

commande de configuration d'une interface : ifconfig 55

Sans paramètres ou avec -a : liste les interfaces configurées Avec un nom d'interface + une adresse configure l'interface en utilisant le masque standard correspondant à la classe de l'adresse(a,b,c) La commande précédente établit automatiquement une route vers le réseau netmask et broadcast permettent de configurer l'interface dans le cas d'une classe fragmentée down déconfigure l'interface et supprime l'ensemble des routes attachées à cette interface 56

Exemples Interface lo : interface de bouclage pcbook:~# ifconfig lo lo Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:145 errors:0 dropped:0 overruns:0 frame:0 TX packets:145 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:29571 (28.8 KiB) TX bytes:29571 (28.8 KiB) Toutes les interfaces actives pcbook:~# ifconfig eth0 Link encap:ethernet HWaddr 00:30:13:65:00:B5 inet6 addr: fe80::230:13ff:fe65:b5/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:8 dropped:0 overruns:0 carrier:8 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:1404 (1.3 KiB) lo Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:145 errors:0 dropped:0 overruns:0 frame:0 TX packets:145 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:29571 (28.8 KiB) TX bytes:29571 (28.8 KiB) 57

Exemples (suite) pcbook:~# ifconfig -a eth0 Link encap:ethernet HWaddr 00:30:13:65:00:B5 inet6 addr: fe80::230:13ff:fe65:b5/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:16 errors:16 dropped:0 overruns:0 carrier:16 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:2808 (2.7 KiB) eth1 lo sit0 V4 Link encap:unspec HWaddr 00-00-4C-E0-1C-90-CF-77-00-00-00-00-00-00-00-00 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:145 errors:0 dropped:0 overruns:0 frame:0 TX packets:145 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:29571 (28.8 KiB) TX bytes:29571 (28.8 KiB) eth1 est l'interface réseau sur le bus IEEE1394 Link encap:ipv6-in-ipv4 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 sit0 est l'interface d'encapsulation d'ip V6 dans IP collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) 58

Configuration sans interface matérielle 59

On utilise un module spécial du noyau appelé dummy Après chargement de ce module une interface matérielle est créée sans qu'il existe de matériel réseau dans la machine Cette interface est alors configurable 60

Exemple manset:~# modprobe -a dummy manset:~# lsmod Module Size Used by dummy 7688 0... fan 9864 0 manset:~# ifconfig dummy0 194.57.86.5 manset:~# ifconfig -a dummy0 Lien encap:ethernet HWaddr F6:B8:94:1A:0E:01 inet adr:194.57.86.5 Bcast:194.57.86.255 Masque:255.255.255.0 adr inet6: fe80::f4b8:94ff:fe1a:e01/64 Scope:Lien UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:3 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:0 (0.0 b) TX bytes:210 (210.0 b) 61

Configuration avec une adresse de classe A manset:~# ifconfig eth0 126.0.1.14 manset:~# ifconfig eth0 Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr:126.0.1.14 Bcast:126.255.255.255 Mask:255.0.0.0 inet6 addr: fe80::20c:76ff:fe3b:779a/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:616 (616.0 b) Interrupt:11 Base address:0xc000 lo Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:560 (560.0 b) TX bytes:560 (560.0 b) manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 126.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0 62

Configuration manuelle avec une adresse de classe C Configuation de l'interface eth0 avec l'adresse 193.52.61.12 : manset:~# ifconfig eth0 193.52.61.12 manset:~# ifconfig eth0 eth0 Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr:193.52.61.12 Bcast:193.52.61.255 Mask:255.255.255.0 inet6 addr: fe80::20c:76ff:fe3b:779a/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:3 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:238 (238.0 b) Interrupt:11 Base address:0xc000 La configuration de l'interface eth0 avec une adresse de classe C détermine automatiquement le masque et l'adresse de diffusion. Quelque soit l'adresse et la classe, l'ajout d'une route vers le réseau est automatique manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 193.52.61.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 63

Configuration avec une adresse de Classe C fragmentée manset:~# ifconfig eth0 194.57.86.134 netmask 255.255.255.224 broadcast 194.57.86.159 manset:~# ifconfig eth0 Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr:194.57.86.134 Bcast:194.57.86.159 Mask:255.255.255.224 inet6 addr: fe80::20c:76ff:fe3b:779a/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:19 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:1442 (1.4 KiB) Interrupt:11 Base address:0xc000 lo Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:560 (560.0 b) TX bytes:560 (560.0 b) manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 194.57.86.128 0.0.0.0 255.255.255.224 U 0 0 0 eth0 64

Attribution d'adresse(s) à l'initialisation du système Effectuée à l'initialisation du système par le fichier de commande /etc/init.d/networking Ce fichier exploite les informations contenues dans le fichier /etc/network/interfaces pour configurer les différentes interfaces Il utilise la commande ifup (ifdown) qui font appel à la seule commande configurant réellement une interface : ifconfig Attention à la cohérence avec le fichier /etc/hosts 65

route Permet de manipuler la table de routage Format : route commande paramètres Commandes utilisables : add : ajouter une route del supprimer une route Les routes peuvent désigner: un réseau : route add -net r gw adresse [netmask m] une machine : route add -host machine gw adresse netmask masque permet de configurer une route vers un sous réseau, obligatoire dans le cas d'une classe fragmentée 66

Configuration et routage manset:~# ifconfig eth0 up 134.56.1.1 netmask 255.255.0.0 manset:~# ifconfig eth0 Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr:134.56.1.1 Bcast:134.56.255.255 Mask:255.255.0.0 inet6 addr: fe80::20c:76ff:fe3b:779a/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:23 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:1750 (1.7 KiB) Interrupt:11 Base address:0xc000 lo Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:560 (560.0 b) TX bytes:560 (560.0 b) 67

manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 134.56.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 Ajout d'une route vers un réseau manset:~# route add -net 194.57.86.0 netmask 255.255.255.0 gw 134.56.1.1 manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 194.57.86.0 134.56.1.1 255.255.255.0 UG 0 0 0 eth0 134.56.1.254 0.0.0.0 UG 0 0 0 eth0 Ajout d'une passerelle par défaut manset:~# route add -net default gw 134.56.1.254 manset:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 134.56.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 194.57.86.0 134.56.1.1 255.255.255.0 UG 0 0 0 eth0 0.134.56.1.254 0.0.0.0 UG 0 0 0 eth0 La route vers 194.57.86.0 devient inutile, elle pourrait être supprimée 68

/etc/init.d/networking #!/bin/sh # # manage network interfaces and configure some networking options PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin if! [ -x /sbin/ifup ]; then exit 0 fi... case "$1" in start) doopt spoofprotect yes doopt syncookies no doopt ip_forward no echo -n "Configuring network interfaces..." ifup -a echo "done." ;;... esac 69

Certaines options de fonctionnement sont déterminées par le contenu du fichier /etc/network/options Des valeurs par défaut sont données par ce fichier de commandes Toutes les interfaces décrites dans le fichier interfaces sont configurées par la seule commande ifup -a La configuration réelle est réalisée par la commande ifconfig 70

/etc/network/options #Autoriser le relayage entre interfaces : router les paquets dans une passerelle : yes/no ip_forward=no #Proctection contre les paquets contenant de fausses adresses spoofprotect=yes #Protection contre les attaques SYNFLOOD : multiples paquets SYN syncookies=no #Bien d'autres options sont utilisables voir la documentation du noyau /usr/src/linux/documentation/networking/ipsysctl.txt et /proc/sys/net/ipv4/* et /etc/sysctl.conf 71

/etc/sysctl.conf # /etc/sysctl.conf - Configuration file for setting system variables # See /etc/sysctl.d/ for additonal system variables # See sysctl.conf (5) for information. # #kernel.domainname = example.com # Uncomment the following to stop low-level messages on console #kernel.printk = 3 4 1 3 ##############################################################3 # Functions previously found in netbase # # Uncomment the next two lines to enable Spoof protection (reverse-path filter) # Turn on Source Address Verification in all interfaces to # prevent some spoofing attacks #net.ipv4.conf.default.rp_filter=1 72

/etc/sysctl.conf # Uncomment the next line to enable TCP/IP SYN cookies # See http://lwn.net/articles/277146/ #net.ipv4.tcp_syncookies=1 # Uncomment the next line to enable packet forwarding for IPv4 #net.ipv4.ip_forward=1 # Uncomment the next line to enable packet forwarding for IPv6 #net.ipv6.conf.all.forwarding=1 ################################################################### # Additional settings - these settings can improve the network # security of the host and prevent against some network attacks # including spoofing attacks and man in the middle attacks through # redirection. Some network environments, however, require that these # settings are disabled so review and enable them as needed. # # Do not accept ICMP redirects (prevent MITM attacks) #net.ipv4.conf.all.accept_redirects = 0 73

/etc/sysctl.conf #net.ipv4.conf.all.accept_redirects = 0 #net.ipv6.conf.all.accept_redirects = 0 # _or_ # Accept ICMP redirects only for gateways listed in our default # gateway list (enabled by default) # net.ipv4.conf.all.secure_redirects = 1 # # Do not send ICMP redirects (we are not a router) #net.ipv4.conf.all.send_redirects = 0 # # Do not accept IP source route packets (we are not a router) #net.ipv4.conf.all.accept_source_route = 0 #net.ipv6.conf.all.accept_source_route = 0 # # Log Martian Packets #net.ipv4.conf.all.log_martians = 1 # # The contents of /proc/<pid>/maps and smaps files are only visible to # readers that are allowed to ptrace() the process # kernel.maps_protect = 1 74

/etc/network/interfaces # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address 193.52.61.140 netmask 255.255.255.224 network 193.52.61.128 broadcast 193.52.61.159 gateway 193.52.61.129 up route add -net 172.20.178.0 netmask 255.255.255.0 gw 193.52.61.138 down route del -net 172.20.178.0 netmask 255.255.255.0 gw 193.52.61.138 75

Plus compliqué # The loopback interface auto lo iface lo inet loopback #Reseau enseignement informatique auto eth0 iface eth0 inet static up /usr/local1/bin/static_route_up.eth0 down /usr/local1/bin/static_route_down.eth0 address 193.52.61.126 netmask 255.255.255.128 network 193.52.61.0 broadcast 193.52.61.127 #Reseau recherche au BC auto eth1 iface eth1 inet static up /usr/local1/bin/static_route_up.eth1 down /usr/local1/bin/static_route_down.eth1 address 193.52.61.129 netmask 255.255.255.224 network 193.52.61.128 broadcast 193.52.61.159 76

#Pour le DHCP dans le 172... auto eth2 iface eth2 inet static address 172.20.176.4 netmask 255.255.252.0 network 172.20.176.0 broadcast 172.20.179.255 #Liaison Renater = routeur CISCO du CRI auto eth3 iface eth3 inet static up /usr/local1/bin/static_route_up.eth3 down /usr/local1/bin/static_route_down.eth3 address 192.168.140.254 netmask 255.255.255.0 network 192.168.254.0 broadcast 192.168.140.255 gateway 192.168.140.253 #Liaison GMP/GTE/Amphiteatre auto eth4 iface eth4 inet static up /usr/local1/bin/static_route_up.eth4 down /usr/local1/bin/static_route_down.eth4 address 194.57.86.254 netmask 255.255.255.128 network 194.57.86.128 broadcast 194.57.86.255 77

routeur:~# ifconfig eth0 Link encap:ethernet HWaddr 00:06:5B:F0:A3:4D inet addr:193.52.61.126 Bcast:193.52.61.127 Mask:255.255.255.128 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:23715719 errors:0 dropped:0 overruns:0 frame:0 TX packets:25188965 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:921047072 (878.3 MiB) TX bytes:2195709625 (2.0 GiB) Interrupt:28 Base address:0xece0 Memory:fdce0000-fdd00000 eth1 Link encap:ethernet HWaddr 00:02:B3:BD:85:E2 inet addr:193.52.61.129 Bcast:193.52.61.159 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8854390 errors:0 dropped:0 overruns:0 frame:0 TX packets:8392048 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:776554276 (740.5 MiB) TX bytes:1307142804 (1.2 GiB) Interrupt:76 Base address:0xdcc0 78

eth3 eth4 lo Link encap:ethernet HWaddr 00:02:B3:BD:85:FC inet addr:192.168.140.254 Bcast:192.168.140.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:40784073 errors:0 dropped:0 overruns:18 frame:0 TX packets:41674649 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:320511278 (305.6 MiB) TX bytes:4175746375 (3.8 GiB) Interrupt:148 Base address:0xcc80 Link encap:ethernet HWaddr 00:02:B3:BD:85:FB inet addr:194.57.86.254 Bcast:194.57.86.255 Mask:255.255.255.128 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:8658 errors:0 dropped:0 overruns:8655 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:363636 (355.1 KiB) Interrupt:16 Base address:0xbcc0 Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:2140013 errors:0 dropped:0 overruns:0 frame:0 TX packets:2140013 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:243932494 (232.6 MiB) TX bytes:243932494 (232.6 MiB) 79

routeur:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 193.52.61.160 193.52.61.24 255.255.255.224 UG 1 0 0 eth0 193.52.61.128 0.0.0.0 255.255.255.224 U 0 0 0 eth1 194.57.86.128 0.0.0.0 255.255.255.128 U 0 0 0 eth4 193.52.61.0 0.0.0.0 255.255.255.128 U 0 0 0 eth0 172.20.96.0 193.52.61.138 255.255.255.0 UG 1 0 0 eth1 10.11.11.0 193.52.61.138 255.255.255.0 UG 1 0 0 eth1 192.168.140.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3 0.0.0.0 192.168.140.253 0.0.0.0 UG 0 0 0 eth3 80

Plusieurs adresses pour une interface Permet de faire coexister deux réseaux logiques sur un seul réseau physique Evite d'avoir à utiliser deux cartes réseau Pour une interface on définit deux adresses appartenant chacune à un réseau La couche IP doit effectuer le routage entre interfaces sinon les 2 réseaux ne peuvent communiquer Sur le réseau physique circulent donc des paquets dont les adresses appartiennent à deux réseaux différents 81

Schéma du réseau 10.10.255.0/24 193.53.61.0/24 193.53.61.254/24 IP privée IP publique 172.22.96.0/24 82

Fichier interface # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) # The loopback interface # automatically added when upgrading auto lo iface lo inet loopback auto eth1 iface eth1 inet static address 193.53.61.254 netmask 255.255.255.0 network 193.53.61.0 auto eth1:priv iface eth1:priv inet static address 10.10.11.254 netmask 255.255.255.0 network 10.10.11.0 broadcast 10.10.11.255 auto eth0 iface eth0 inet static address 172.22.96.254 netmask 255.255.255.0 network 172.22.178.0 broadcast 172.22.178.255 83

Configuration avec un client DHCP DHCP = Dynamic Host Configuration Protocol Programme utilisant l'adresse de diffusion pour se connecter à un serveur DHCP afin d'obtenir une adresse Il doit exister un serveur pouvant répondre dans le même réseau car les adresses de diffusion ne traverse pas les routeurs (relais DHCP) Le serveur peut attribuer l'adresse selon différents critères : adresse physique, ensemble d'adresses disponibles, origine de la demande s'il possède plusieurs interfaces... Client DHCP : dhclient, udhcpc, pump,... 84

Initialisation automatique 85

/etc/network/interface # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp Initialisation de l'interface par un client dhcp 86

Initialisation manuelle 87

Le fichier interface ne décrit pas l'interface # The loopback network interface auto lo iface lo inet loopback 88

Initialisation manuelle Adresse du serveur DHCP ayant répondu soleil5:~# dhclient ath0 Adresse attribuée Internet Systems Consortium DHCP Client V3.0.4 Copyright 2004-2006 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/ wifi0: unknown hardware address type 801 wifi0: unknown hardware address type 801 Listening on LPF/ath0/00:17:f2:44:15:3e Sending on LPF/ath0/00:17:f2:44:15:3e Sending on Socket/fallback DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 5 DHCPOFFER from 193.52.61.126 DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPACK from 193.52.61.126 bound to 193.52.61.115 -- renewal in 2816 seconds. Temps d'allocation 89

/etc/hosts Contenu doit être cohérent avec interfaces Utilisé pour la résolution de nom Certains logiciels l'exploite pour déterminer le nom court et le nom complètement qualifié de la machine Permet de spécifier des adresses de machines non enregistrées dans un serveur de nom 90

Exemple 127.0.0.1 localhost 193.52.61.140 manset.iut-bm.univ-fcomte.fr manset 172.20.178.1 cluster1.iut-bm.univ-fcomte.fr cluster1 172.20.178.2 cluster2.iut-bm.univ-fcomte.fr cluster2 172.20.178.3 cluster3.iut-bm.univ-fcomte.fr cluster3 172.20.178.4 cluster4.iut-bm.univ-fcomte.fr cluster4 172.20.178.5 cluster5.iut-bm.univ-fcomte.fr cluster5 172.20.178.6 cluster6.iut-bm.univ-fcomte.fr cluster6 172.20.178.7 cluster7.iut-bm.univ-fcomte.fr cluster7 172.20.178.8 cluster8.iut-bm.univ-fcomte.fr cluster8 # The following lines are desirable for IPv6 capable hosts # (added automatically by netbase upgrade) ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts Nom court Nom complètement qualifié Adresse IP 91

Réseau complexe INTERNET 193.52.61.0/25 122 41 1 172.20.20.0/24 10 172.20.22.0/24 254 172.20.21.0/24 42 1 1 11 42 11 192.168.42.32/28 192.168.0.0/24 11 12 92

193.52.61.122/172.20.20.1 eth0 eth1 lo Link encap:ethernet HWaddr 00:0C:76:3B:77:9A inet addr:193.52.61.122 Bcast:193.52.61.127 Mask:255.255.255.128 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:586164 errors:0 dropped:0 overruns:0 frame:0 TX packets:119129 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:365000942 (348.0 MiB) TX bytes:8195538 (7.8 MiB) Interrupt:11 Base address:0xb000 Link encap:ethernet HWaddr 00:50:BA:53:F3:97 inet addr:172.20.20.1 Bcast:172.20.20.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2676398 errors:2 dropped:0 overruns:0 frame:0 TX packets:7483521 errors:0 dropped:0 overruns:0 carrier:0 collisions:944427 txqueuelen:1000 RX bytes:185989906 (177.3 MiB) TX bytes:2641299816 (2.4 GiB) Interrupt:10 Base address:0xc000 Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:170 errors:0 dropped:0 overruns:0 frame:0 TX packets:170 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:20041 (19.5 KiB) TX bytes:20041 (19.5 KiB) 93

193.52.61.114/172.20.20.1 Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.42.32 172.20.20.254 255.255.255.240 UG 0 0 0 eth1 193.52.61.0 0.0.0.0 255.255.255.128 U 0 0 0 eth0 172.20.22.0 172.20.20.254 255.255.255.0 UG 0 0 0 eth1 172.20.21.0 172.20.20.254 255.255.255.0 UG 0 0 0 eth1 172.20.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.0 172.20.20.254 255.255.255.0 UG 0 0 0 eth1 0.0.0.0 193.52.61.126 0.0.0.0 UG 0 0 0 eth0 94

172.20.20.254/172.20.21.1/172.20.22.1 eth0 eth1 eth2 Lien encap:ethernet HWaddr 00:80:C8:95:8C:73 inet adr:172.20.20.254 Bcast:172.20.20.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:356033 errors:1 dropped:0 overruns:0 frame:0 TX packets:189202 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:527158905 (502.7 MiB) TX bytes:12742472 (12.1 MiB) Interruption:10 Adresse de base:0xd400 Lien encap:ethernet HWaddr 00:80:C8:94:A8:88 inet adr:172.20.21.1 Bcast:172.20.21.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:112897 errors:39 dropped:0 overruns:0 frame:0 TX packets:162350 errors:0 dropped:0 overruns:0 carrier:0 collisions:55051 lg file transmission:1000 RX bytes:9513937 (9.0 MiB) TX bytes:176627701 (168.4 MiB) Interruption:12 Adresse de base:0xd800 Lien encap:ethernet HWaddr 00:80:C8:95:92:27 inet adr:172.20.22.1 Bcast:172.20.22.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:183414 errors:29 dropped:0 overruns:0 frame:0 TX packets:287612 errors:5 dropped:0 overruns:0 carrier:5 collisions:134563 lg file transmission:1000 RX bytes:15361071 (14.6 MiB) TX bytes:356185307 (339.6 MiB) Interruption:7 Adresse de base:0xdc00 95

172.20.20.254/172.20.21.1/172.20.22.1 Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 192.168.42.32 172.20.22.42 255.255.255.240 UG 0 0 0 eth2 172.20.22.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 172.20.21.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 172.20.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 172.20.21.11 255.255.255.0 UG 0 0 0 eth1 96

172.20.21.11/192.168.0.11 eth0 eth1 Lien encap:ethernet HWaddr 00:50:BA:53:CD:30 inet adr:172.20.21.11 Bcast:172.20.21.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:66 errors:0 dropped:0 overruns:0 frame:0 TX packets:84 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:6864 (6.7 KiB) TX bytes:7120 (6.9 KiB) Interruption:10 Adresse de base:0xdc00 Lien encap:ethernet HWaddr 00:50:BA:53:F6:9E inet adr:192.168.0.11 Bcast:192.168.0.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:22 errors:0 dropped:0 overruns:0 frame:0 TX packets:22 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:1884 (1.8 KiB) TX bytes:1464 (1.4 KiB) Interruption:11 Adresse de base:0xe000 97

172.20.21.11/192.168.0.11 Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 172.20.21.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 172.20.21.1 0.0.0.0 UG 0 0 0 eth0 98

172.20.22.42/192.168.42.42 eth0 eth1 Lien encap:ethernet HWaddr 00:50:BA:53:C6:8C inet adr:192.168.42.42 Bcast:192.168.42.47 Masque:255.255.255.240 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:70 errors:0 dropped:0 overruns:0 frame:0 TX packets:58 errors:0 dropped:0 overruns:0 carrier:0 collisions:1 lg file transmission:1000 RX bytes:5684 (5.5 KiB) TX bytes:5388 (5.2 KiB) Interruption:10 Adresse de base:0xdc00 Lien encap:ethernet HWaddr 00:50:BA:21:A7:6B inet adr:172.20.22.42 Bcast:172.20.22.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:266 errors:0 dropped:0 overruns:0 frame:0 TX packets:238 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:19620 (19.1 KiB) TX bytes:14488 (14.1 KiB) Interruption:11 Adresse de base:0xe000 99

172.20.22.42/192.168.42.42 Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 192.168.42.32 0.0.0.0 255.255.255.240 U 0 0 0 eth0 172.20.22.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 172.20.22.1 0.0.0.0 UG 0 0 0 eth1 100

192.168.0.12 eth0 Lien encap:ethernet HWaddr 00:50:BA:53:C6:8B inet adr:192.168.0.8 Bcast:192.168.0.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:46415 errors:0 dropped:0 overruns:0 frame:0 TX packets:12205 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:2927669 (2.7 MiB) TX bytes:1296706 (1.2 MiB) Interruption:11 Adresse de base:0xec00 Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.0.11 0.0.0.0 UG 0 0 0 eth0 101

192.168.42.37 eth0 Lien encap:ethernet HWaddr 00:50:BA:21:A0:FD inet adr:192.168.42.37 Bcast:192.168.42.47 Masque:255.255.255.240 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:15 errors:0 dropped:0 overruns:0 frame:0 TX packets:14 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:1968 (1.9 KiB) TX bytes:1704 (1.6 KiB) Interruption:10 Adresse de base:0xdc00 Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 192.168.42.32 0.0.0.0 255.255.255.240 U 0 0 0 eth0 0.0.0.0 192.168.42.42 0.0.0.0 UG 0 0 0 eth0 102

Résolutions d'adresses 103

Adresse internet vers adresse physique(mac) : protocole ARP, réalisée au moment ou le datagramme est envoyé sur le réseau Adresse physique vers adresse internet : quand une machine ne peut mémoriser son adresse internet (pas de disque ou pas de mémoire permanente) RARP Adresse symbolique vers adresse internet ou l'inverse :réalisée le plus rapidement possible à l'aide du service de nom DNS Les adresses symboliques ne sont utilisées que par les utilisateurs comme paramètres des commandes 104

ARP: adresse internet vers éthernet Gestion dynamique, une adresse est résolue lorsque cela est nécessaire c'est à dire lorsqu'une trame à destination de cette adresse doit être réalisée La machine émettrice envoie une requête ARP contenant l'adresse à traduire en utilisant l'adresse de diffusion réseau. Une seule machine reconnaît son adresse IP et renvoie son adresse ethernet dans la réponse. Les associations IP-Ethernet sont conservées par toutes les machines dans un cache (commande arp) 105

RARP : physique vers internet Lorqu'une machine ne dispose d'aucune mémoire permanente il est impossible d'enregistrer son adresse internet de façon permanente A l'allumage la machine doit déterminer quelle est l'adresse internet associée à son adresse physique Envoi d'une requète RARP contenant son adresse éthernet Cette requète est traitée par un serveur RARP qui retourne l'adresse internet associée Une requète RARP peut être utilisée par toute machine désirant résoudre une adresse éthernet 106

DNS: service de nom Service permettant de transformer une adresse symbolique en une adresse IP ou l'inverse Obligatoire si l'on veut pouvoir accéder à INTERNET facilement Utilise éventuellement le fichier /etc/hosts en complément Fichiers concernés: libc.so : contenant les fonctions de résolution de noms (resolver) /etc/resolv.conf /etc/nsswitch.conf ou /etc/hosts.conf 107

DNS Basé sur la notion de domaine Structure arborescente : racine :. niveau 1 : pays ou catégories : fr, de, edu, biz une feuille est une machine Les 13 serveurs du domaine «.» détiennent l'information pour un domaine donné On commence toujours à. puis on descend Récursif Mise en cache des résultats pour accélérer les recherches ultérieures (durée = TTL donné par le DNS) 108

; This file is made available by InterNIC ; under anonymous FTP as ; file /domain/named.root ; on server FTP.INTERNIC.NET ; -OR- RS.INTERNIC.NET ; last update: Jan 29, 2004 ; formerly NS.INTERNIC.NET. 3600000 IN NS A.ROOT- SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 ; formerly NS1.ISI.EDU. 3600000 NS B.ROOT- SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201 ; formerly C.PSI.NET. 3600000 NS C.ROOT- SERVERS.NET. C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12 ; formerly TERP.UMD.EDU. 3600000 NS D.ROOT- SERVERS.NET. D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90 ; formerly NS.NASA.GOV. 3600000 NS E.ROOT- SERVERS.NET. E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10 ; formerly NS.ISC.ORG. 3600000 NS F.ROOT- SERVERS.NET. F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241 ; formerly NS.NIC.DDN.MIL. 3600000 NS G.ROOT- SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4 ; formerly AOS.ARL.ARMY.MIL. 3600000 NS H.ROOT- SERVERS.NET. H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53. 3600000 NS I.ROOT- SERVERS.NET. ; Serveurs de.. 3600000 NS G.ROOT- SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4 ; ; formerly AOS.ARL.ARMY.MIL ;. 3600000 NS H.ROOT- SERVERS.NET. H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53 ; ; formerly NIC.NORDU.NET ;. 3600000 NS I.ROOT- SERVERS.NET. I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17 ; ; operated by VeriSign, Inc. ;. 3600000 NS J.ROOT- SERVERS.NET. J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30 ; ; operated by RIPE NCC ;. 3600000 NS K.ROOT- SERVERS.NET. K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129 ; ; operated by ICANN ;. 3600000 NS L.ROOT- SERVERS.NET. L.ROOT-SERVERS.NET. 3600000 A 198.32.64.12 ; ; operated by WIDE 109. 3600000 NS M.ROOT-

Principes du DNS Requête : htpp://www.cru.fr DNS de. DNS de fr DNS fr? adresse IP du DNS fr DNS cru.fr.? IP du DNS de cru.fr www.cru.fr.? DNS de cru.fr DNS local IP de www.cru.fr www.cru.fr.? IP de www.cru.fr Requète HTTP Page HTML www.cru.fr 110

/etc/resolv.conf #La suite des domaines à ajouter aux noms non complètement qualifié search iut-bm.univ-fcomte.fr. pu-pm.univ-fcomte.fr. univ-fcomte.fr. #Le nom du domaine si absent le nom est déterminé par la fonction gethostname() #domain iut-bm.univ-fcomte.fr. #La liste des serveurs de noms à consulter dans l'ordre nameserver 193.52.61.12 nameserver 193.52.61.11 3 lignes nameserver maximum search ou domain, pas les deux la dernière lue est seule prise en compte 111

/etc/nsswitch.conf # /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: group: shadow: compat compat compat #L'ordre de résolution des noms: /etc/hosts puis le serveur de noms hosts: files dns networks: files protocols: services: ethers: rpc: netgroup: db files db files db files db files nis 112

hosts.conf Détermine l'ordre de consultation des sources hosts, dns,nis multi demande la réception de l'ensemble des adresses pour un nom donné reorder demande le tri des adresses obtenues en fonction des adresses locales D'autres directives sont utilisables Exemple : order hosts,bind multi on 113

Le super démon : inetd 114

inetd permet de centraliser le lancement des serveurs inetd écoute l'ensemble des ports alloués aux différents serveurs lorsqu'un client se connecte à un port inetd lance le service concerné : fork + exec long mais permet une meilleure gestion de la mémoire lorsque les services sont peu fréquemment utilisés si le service est très utilisé il vaut mieux le lancer en mode autonome: programme dans /etc/rc* xinetd est un super-démon securisé 115

/etc/inetd.conf # /etc/inetd.conf: see inetd(8) for further informations. # Internet server configuration database # Lines starting with "#:LABEL:" or "#<off>#" should not # be changed unless you know what you are doing! # If you want to disable an entry so it isn't touched during # package updates just comment it out with a single '#' character. # Packages should modify this file by using update-inetd(8) # <service_name> <sock_type> <proto> <flags> <user> <server_path> <args> #:INTERNAL: Internal services #echo stream tcp nowait root internal #echo dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal discard stream tcp nowait root internal discard dgram udp wait root internal daytime stream tcp nowait root internal #daytime dgram udp wait root internal time stream tcp nowait root internal #time dgram udp wait root internal #:STANDARD: These are standard services. ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/proftpd #:BSD: Shell, login, exec and talk are BSD protocols. #:MAIL: Mail, news and uucp services. smtp stream tcp nowait mail /usr/sbin/exim exim -bs #:INFO: Info services ident stream tcp wait identd /usr/sbin/identd identd #:BOOT: Tftp service is provided primarily for booting. Most sites # run this only on machines acting as "boot servers." #:RPC: RPC based services #:HAM-RADIO: amateur-radio services #:OTHER: Other services 116

la configuration d'un service dans inetd om du service: le port est déterminé à partir de /etc/services ftp 21/tcp type de la socket: stream/dgram protocole utilisé par le service: tcp/udp ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/proftpd attente ou non de la fin argument du programme le vrai démon ftpd identificateur du propriétaire programme à lancer: ici tcpd(tcp-wrapper) permettant de créer des régles d'accès aux services avec /etc/hosts.deny et /etc/hosts.allow 117

Serveur DHCP 118

Principe général Le service dhcp fonctionne selon le modèle Client/Serveur Sur une des machines du réseau fonctionne un serveur dhcp écoutant une ou plusieurs interfaces réseaux pour y détecter les requêtes d'attribution d'adresse Une machine cliente initialise son interface en exécutant un programme dhcp client qui tente de contacter un serveur fonctionnant sur le réseau. 119

Attribue des adresses aux machines lui envoyant une requète DHCP La requète cliente contient 255.255.255.255 comme adresse de destination car l'émetteur ne connaît ni l'adresse du réseau ni l'adresse du serveur La réponse, si positive, contient l'adresse attribuée et éventuellement le nom du domaine, l'adresse de la passerelle, les adresses des serveurs de nom... Le serveur utilise l'adresse éthernet du demandeur lors de la réponse L'attribution peut-être sécurisée ou non sur les adresses éthernet par exemple L'allocation dans un ensemble d'adresses est quasi abandonnée par souci de sécurité 120

Exemple simple de fichier de configuration La première ligne fixe la durée d'allocation à 3600 secondes. Le serveur alloue des adresses dans le réseau 172.20.20.0/24 : subnet 172.20.20.0 netmask 255.255.255.0 Les adresses allouées sont dans la plage 172.20.20.128 172.20.20.191 : range 172.20.20.128 172.20.20.191; Les options suivantes permettent de définir le nom du domaine, les adresses du serveur de nom et de la passerelle par défaut 121

Remarques Les fichiers de configuration des serveurs dhcp dépendent du serveur dhcp ils ne sont pas tous identiques. Lorsque le serveur dhcp est lancé une erreur quelconque dans le fichier de configuration provoque l'arrêt du serveur et le service n'est pas disponible Suivant la version de serveur utilisée les fonctionnalités et les informations qui peuvent être envoyées aux clients varient 122

Le fichier de configuration # set lease time to one hour default-lease-time 3600; subnet 172.20.20.0 netmask 255.255.255.0 { range 172.20.20.128 172.20.20.191; option domain-name "tpreseau.org"; option domain-name-servers 172.20.20.254, 194.57.86.193; option routers 172.20.20.254; } 123

Exemple complexe utilisant la translation d'adresse et plusieurs réseaux sur le même support physique 124

Schéma du réseau Internet 195.62.10.129 Passerelle Commutateur 195.62.10.128/27 IP publique 195.62.10.144/27 10.11.11.254/24 DHCP, NAT IP publique Requête DHCP Portable Réponse DHCP: 10.11.11.X/24 Passerelle : 10.11.11.254 172.20.96.0/24 125

# Fichier de configuration du serveur DHCP # The ddns-updates-style parameter controls whether or not the server will # attempt to do a DNS update when a lease is confirmed. ddns-update-style none; # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. authoritative; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; shared-network and { option domain-name "iut-bm.univ-fcomte.fr"; option domain-name-servers 195.62.10.12, 195.62.10.11; max-lease-time 3600; default-lease-time 3600; } ## Adresses prives allouées dynamiquement ## pool { max-lease-time 1800; default-lease-time 1800; range 10.11.11.1 10.11.11.99; } 126

###--- adresses publiques ---# host jarret { # portable J hardware ethernet 08:00:46:EB:63:30; fixed-address 195.62.10.141; } host pearljam { # portable D hardware ethernet 00:17:f2:ea:59:61; fixed-address 195.62.10.148; } host hp960c { # imprimante couleur hardware ethernet 00:01:E6:46:48:BB; fixed-address 195.62.10.150; } host etherj { # mac gigabits hardware ethernet 00:16:cb:97:4a:b0; fixed-address 195.62.10.152; } host wifij { # mac wifi hardware ethernet 00:17:F2:44:15:3E; fixed-address 195.62.10.152; } 127

NFS : Network File System Permet le montage d'arborescences distantes dans les sytèmes de fichier locaux Fonctionne suivant le principe Client/Serveur Basé sur les RPC et le protocole UDP Le serveur exporte tout ou partie d'un système de fichiers Le client monte cette arborescence dans un répertoire local Le serveur est sans état, pas de mémoire de ses clients 128

Deux serveurs possible: NFS : partie serveur serveur fonctionnant en mode noyau nécessitant une option de configuration du noyau et potentiellement plus problématique du point de vue sécurité (nfskernel-server) serveur fonctionnant en mode utilisateur de ce fait plus sécurisé (nfs-user-server) /etc/exports : donne la liste des répertoires, les droits et les machines autorisées à faire le montage Nombreuses options concernant les protocoles, la sécurité, le traitement des erreurs 129

Exemple de fichier d'export /home accessible à toutes les machines du réseau 193.62.61.128/27 /home accessible à la seule machine 193.52.61.114 /home accessible à toutes les machines du réseau 172.20.96.0/24 /home/home1 accessible à la seule machine 193.52.61.52 /home 193.52.61.128/255.255.255.224(rw,no_root_squa sh,sync,no_subtree_check) /home 193.52.61.114/255.255.255.255(rw,no_root_squa sh,sync,no_subtree_check) /home 172.20.96.0/255.255.255.0(rw,no_root_squash,s ync,no_subtree_check) /home/home1 193.52.61.52/255.255.255.255(rw,root_squash,s ync,no_subtree_check) 130

Quelques options du fichier d'export rw : accessible en lecture/écriture, attention aux fichiers de configuration no_root_squash une opération exécutée par une machine distante conserve le propriétaire root TRES DANGEUREUX root_squash : à utiliser le plus souvent possible anonuid, anongid : identificateurs à utiliser lors des opérations effectuées par root 131

NFS : client Il effectue simplement un montage Syntaxe : mount serveur:repertoire_exporté répertoire_local Attention aux conditions du montage, NFS est une source importante de problèmes de sécurité Fichiers spéciaux /dev (nodev) Exécutable (noexec) Comme tout montage l'arborescence de racine point de montage devient inaccessible 132

Exemple 193.52.61.138:/home /home nfs defaults 0 0 nfs1:/nfs/nfs-info /nfs1/nfs-info nfs users,rw,noauto,bg,rsize=8192,wsize=8192 0 0 nfs1:/nfs/web-etu /nfs1/web nfs users,rw,noauto,bg,rsize=8192,wsize=8192 0 0 133

Le courrier électronique smtp stream tcp nowait mail /usr/sbin/exim exim -bs 134

Analyse du trafic réseau Utiliser pour déboguer des problèmes de fonctionnement Localiser l'origine d'un trafic illicite Outils disponibles: tcpdump ethereal wireshark Fonctionnement en deux temps : acquisition puis analyse des trames enregistrées Nécessité d'être le super-utilisateur pour utiliser ces outils 135

tcpdump : enregistrement et analyse d'une requète dhcp techno1:~# tcpdump -i eth1 -w /tmp/dhcp.trace tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 50 packets captured 50 packets received by filter 0 packets dropped by kernel techno1:~# tcpdump -r /tmp/dhcp.trace 16:24:37.374327 IP 192.168.1.116.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:80:c8:94:a5:79, length: 300 16:24:37.412585 IP 192.168.1.254.bootps > 192.168.1.116.bootpc: BOOTP/DHCP, Reply, length: 300 136

ethereal-wireshark 137

ethereal : analyse 138

Ethereal : capture avec sélection 139