Upload
ivon-grand
View
113
Download
3
Embed Size (px)
Citation preview
interface graphique permettant de faciliter la conception de
topologies réseaux complexes
Logiciel permettant de créer des machines virtuelles sur une
machine physique
Les utilisateurs du LAN sont sur XP
DEBIAN
DEBIAN pour simuler internet
Commercial itinérant sur Debian XFCE
DEBIAN :Routeur / IPtables / DHCP / VPN
DEBIAN
WEB FTP
apt-get install apache2 apt-get install pure-ftp
nano /var/www/index.html
Nous indiquons dans la page WEB : « BIENVENUE SUR LE SERVEUR
WEB DU RESEAU TSRIT »
Nous effectuons les mêmes opérations sur la machine qui va simuler internet
# route vers le réseau LANup route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.254
# route vers la DMZup route add -net 172.31.0.0 netmask 255.255.255.0 gw 172.31.0.254
# route par défautup route add default gw 88.188.0.199
Pour rendre les routes persistantes : les enregistrer dans le fichier /etc/network/interfaces
Activer ip_forwarding :(cette ligne sera écrite au sein du script Iptable)
echo 1 > /proc/sys/net/ipv4/ip_forward
Placer chaque ligne sous l’ ‘’eth’’ correspondant
apt-get install isc-dhpc-server
nano /etc/dhcp/dhcpd.conf
/etc/init.d/isc-dhcp-server restart
Par défaut, le DHCP va écouter l’interface eth0.Pour la remplacer par celle que nous désirons : nano /etc/default/isc-dhcp-server
Afin que les règles soient appliquées à chaque démarrage, il faut les enregistrer dans un script que l’on placera ensuite dans :
#!/bin/bash# ceci est le fichier de configuration IPtables
## Vidage table FILTER iptables -Fiptables -X
# Vidage table NAT iptables -t nat -Fiptables -t nat -X
## Activation du mode "routeur" echo 1> /proc/sys/net/ipv4/ip_forward
# par défaut nous refusons TOUT iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP
# Autoriser la boucle locale(par exemple cups (qui gère les imprimantes) se configure sur localhost)
iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT
# on autorise les pings entre LAN et ROUTEUR
iptables -A INPUT -i eth2 -p icmp -j ACCEPTiptables -A OUTPUT -o eth2 -p icmp -j ACCEPT
# on autorise les pings entre DMZ et ROUTEUR
iptables -A INPUT -i eth1 -p icmp -j ACCEPTiptables -A OUTPUT -o eth1 -p icmp -j ACCEPT
# on autorise les pings entre LAN et DMZ
iptables -A FORWARD -p icmp -i eth2 -o eth1 -j ACCEPTiptables -A FORWARD -p icmp -i eth1 -o eth2 -j ACCEPT
# on autorise une machine du LAN à ping une machine du NET et on masque son IP
iptables -A FORWARD -p icmp -i eth2 -o eth3 -j ACCEPTiptables -A FORWARD -p icmp -i eth3 -o eth2 --icmp-type echo-reply -j ACCEPTiptable -t nat -A POSTROUTING -o eth2 -j MASQUERADE
# on interdit les pings depuis une machine internet
iptables -A INPUT -i eth3 -p icmp --icmp-type echo-request -j DROP
# les machines du LAN doivent pouvoir accéder au server WWW
iptables -A FORWARD -p tcp -i eth2 -d 172.31.0.10 --dport 80 -j ACCEPTiptables -A FORWARD -p tcp -o eth2 -s 172.31.0.10 --dport 80 -j ACCEPT
# rendre accessible le serveur WWW interne depuis le net
iptables -t nat -A PREROUTING -p tcp -d 88.188.0.199 --dport 80 -j DNAT --to-destination 172.31.0.10:80iptables -t filter -A FORWARD -o eth3 -p tcp --source-port 80 -j ACCEPTiptables -t filter -A FORWARD -o eth1 -p tcp --destination-port 80 -J ACCEPT
# On sort du script si celui-ci s’est correctement déroulé
exit 0
# On autorise les échanges liés aux connections VPN