#1 Le 03/09/2007, à 18:11
- csmqpn
[Résolu] dhcp3-server et connection à internet (+bind et iptables)
Bonjour,
Dans un atelier informatique d'un centre social où je propose des initiations, je travaille avec un serveur de fichier ubuntu (samba). J'ai envie de passer à l'étape supérieure, en le déplaçant en amont du réseau pour en faire un serveur proxy.
Je me lance alors d'abord dans l'installation d'un serveur dhcp.
voilà un schéma du réseau :
Ce qui fonctionne :
* le serveur a accès au net
* le serveur fournit des addresses IP aux postes clients
Ce qui coince :
* les postes clients n'ont pas accès au net...
Je me suis aidé des tutos pour les fichiers de configuration :
/etc/network/interfaces :
# Interface de boucle local
auto lo
iface lo inet loopback
# Interface ETHERNET primaire / connection a internet
auto eth1
iface eth1 inet dhcp
# Interface ETHERNET secondaire / postes clients
auto eth2
iface eth2 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
network 192.168.1.0
gateway 10.0.0.138 ## IP du speedtouch
sachant que eth0 est un chipset intégré que je ne suis pas arrivé à configurer, donc j'ai installé deux cartes réseau eth1 et eth2.
voici ensuite le fichier de configuration de dhcp3-server : /etc/dhcp3/dhcpd.conf
### RÉSEAU ###
## Mode autoritaire (autoritaire)
authoritative;
## Masque de sous-réseau
option subnet-mask 255.255.255.0;
### DOMAINE ###
## Nom du domaine
option domain-name "CSMQ";
## Adresse IP du serveur DNS
option domain-name-servers 80.10.246.1, 80.10.246.132; ## DNS ORANGE
## type de mise a jour du dns (aucune)
ddns-update-style none;
### Temps de renouvellement des adresses ###
## par défaut en s (1h)
default-lease-time 3600;
## maximum (2h)
max-lease-time 7200;
### Sécurité ###
## Use this to send dhcp log messages to a different log file (you also
## have to hack syslog.conf to complete the redirection).
log-facility local7;
##### RÉSEAUX #####
## déclaration sous réseau 192.168.1.*
subnet 192.168.1.0 netmask 255.255.255.0 {
## Adresse de diffusion
option broadcast-address 192.168.1.255;
## routeur par défaut
option routers 192.168.1.1;
## plage d'attribution d'adresse
range 192.168.1.2 192.168.1.100;
# evalue si l adresse est deja attribuée
ping-check = 1;
}
Des idées ?
Dernière modification par csmqpn (Le 04/09/2007, à 18:24)
Hors ligne
#2 Le 03/09/2007, à 18:17
- safe93
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Bonsoir,
Vois du coté d'iptables et le partage de connexion
Ta configuration me semble cohérente, et ton poste détaillé. (merci)
Je pense que c'est la cause de tes maux ...IPTABLES
sudo iptables -L
@++
#3 Le 03/09/2007, à 18:51
- csmqpn
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
6 mn pour une réponse ! j'hallucine ! merci
Ah oui iptables, je sais juste que c'est LE parfeu linux.
En fait je viens juste de refaire une install fraîche server (le serveur de fichier était en breezy...).
Je ne pourrais voir ça que demain au taff, et j'ai bien l'impression qu'iptables est présent par défaut.
Hors ligne
#4 Le 03/09/2007, à 19:41
- safe93
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
6 mn pour une réponse ! j'hallucine ! merci
De rien, entre penguins
En revanche, tu aurais gagné davantage de temps en survolant la partie documentation du site ou par le module "rechercher" ...
@++
#5 Le 03/09/2007, à 22:32
- B@rtounet
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Ton poste serveur est censé faire routeur ?
à voire ton schéma je crois que oui...
As tu activé la fonction de routage sous linux. ??
fais moi un
cat /proc/sys/net/ipv4/ip_forward
Hors ligne
#6 Le 03/09/2007, à 23:11
- mike17
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
salut,
sinon, tu fais pas router le pingouin, et tu installes SQUID.
Avantage: c'est plutôt simple, tu contrôles bien les accés, ça fait du cache
Inconvénient: http/https only...
Hors ligne
#7 Le 03/09/2007, à 23:14
- B@rtounet
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Il devra forcément router a part si il se contente du http, mais j'en doute...
Dernière modification par B@rtounet (Le 03/09/2007, à 23:15)
Hors ligne
#8 Le 04/09/2007, à 06:41
- dexinou
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
J'ai exactement la meme configue que toi et voici comment tu dois procéder:
Ton routeur ic c'est pas ton speedtouche mais 192.168.1.1
Le speedtouch ne fait pas routeur. (si c'est bien celui de Belgacom)
dans gateway tu dois mettre 192.168.1.1
et ici:
option domain-name-servers 80.10.246.1, 80.10.246.132; ## DNS ORANGE
le serveur dns en général c'est ton routeur donc c'est:
option domain-name-servers 192.168.1.1; ## DNS LOCAL
En supposant que tu as bien installé bind sur le routeur.
Car c'est bind qui va faire la résolution des noms avec l'option forwarders
forwarders {
80.10.246.1;
80.10.246.132;
};
et ensuite ton dhcp 192.168.1.1 var contacter bind pour donner a ton réseau local l'ip de ton dns pour que tes clients ( les pc relié au switch) puisse se connecter au net.
Note si tu as iptables je te conseil de ce tutoriel pour le configurer et forwarder tes paquets sur le réseau local :
http://forum.debian-fr.org/viewtopic.php?t=1901&highlight=parefeu
bonne chance
Dernière modification par dexinou (Le 04/09/2007, à 06:55)
Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...
Hors ligne
#9 Le 04/09/2007, à 08:40
- B@rtounet
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Commence deja par nous montrer que ton serveur route, en pingant des adresses ip internes puis externe..
par exemple google.fr 66.249.93.104
Hors ligne
#10 Le 04/09/2007, à 10:36
- csmqpn
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Dans l'ordre des posts :
* il n'y a pas de règles iptables : le serveur est pour l'instant une passoire
* oui j'amerais qu'il fasse routeur
cat /proc/sys/net/ipv4/ip_forward
me renvoie maintenant 1
* @dexinou :
je suis en train de configurer comme tu me l'indiques, mais comme je ne connais pas bind, je me plonge dedans
* le serveur ping bien sur google.fr, et sur un client (attribution de l'IP 192.168.1.100)
Hors ligne
#11 Le 04/09/2007, à 10:56
- B@rtounet
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
bah si ton serveur ping google.fr, c'est qu'il fait bien une résolution de nom..
faits nous un traceroute a partir d'un client sur une adresse ip externe
Hors ligne
#12 Le 04/09/2007, à 11:07
- csmqpn
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Les clients sont sous windows, désolé... donc ça me donne :
c:\>tracert forum.ubuntu-fr.org
Détermination de l'itinéraire vers www.ubuntu-fr.org [213.95.41.11]
avec un maximum de 30 sauts :
1 <1 ms <1ms <1ms 192.168.1.1
2 * * *
puis un ctrl+c pour qu'il arrête de tourner dans le vide
j'ajoute des infos sinon :
voilà à quoi ressemblait le réseau d'origine
Le speedtouch 510 est donc un modem routeur.
Je pourrais donc laisser le speedtouch bosser le routage, et installer Squid sur le serveur comme le préconise mike17...
Si j'essaie de comprendre, dans ce cas, exit le serveur dhcp (et bind), et je configure iptables pour faire un transfert d'adresses. Je suis sur la bonne voie ?
Dernière modification par csmqpn (Le 04/09/2007, à 12:29)
Hors ligne
#13 Le 04/09/2007, à 12:49
- B@rtounet
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Bah tout est possible, c'est archi est plus simple, mais pas forcément mieux...
C'est toujours sympa d'apprendre à creer un routeur sous linux.
Mais bon, la nouvelle architecture que tu veux monter est très simple, je j'utilise aussi quelque chose de similaire.
Si j'essaie de comprendre, dans ce cas, exit le serveur dhcp (et bind), et je configure iptables pour faire un transfert d'adresses. Je suis sur la bonne voie ?
Ca dépend ce que tu veux, bien sur ton modem/routeur peut tout faire dhcp, dns et routage et tu peux installer seulement squid sur le serveur... quoique de mémoiré je crois que squid doit disposer tout de meme de son dns en local...
Mais pour ma part je préfère tout gerer par le serveur..
le dhcp, le dns avec bind etc...
au moins tu n'es plus limité par le dns de ton FAI même si ils tombent en rideau tu aura tjs ta résolution de nom
Hors ligne
#14 Le 04/09/2007, à 14:41
- csmqpn
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Disons que j'ai pas vraiement envie de jeter l'éponge, mais si je pouvais tout emmener chez moi pour y bosser, je le ferais... Je commence les ateliers dès samedi.
Aller hop, je m'y relance. Je continue les conseils dexinou qui a à priori le même réseau.
J'ai installé bind. Pour la configuration, je passe les postes clients en IP fixe car je n'ai pas trouvé pour les dynamiques (donc modif du fichier config dhcpd.conf avec clients @IP fixe & adresse MAC).
J'attaque iptables...
Hors ligne
#15 Le 04/09/2007, à 15:36
- csmqpn
Re : [Résolu] dhcp3-server et connection à internet (+bind et iptables)
Et hop ça roule ! Bon pour l'instant j'ai fait le test avec un seul client, mais ça va venir !
merci à tous.
J'ai juste utilisé la config iptables du lien de dexinou pour un parefeu sur une machine serveur dhcp :
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i ethx -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
iptables -A FORWARD -i ethy -o ethx -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o ethy -j ACCEPT
iptables -t nat -A POSTROUTING -o ethy -j MASQUERADE
Où ethx correspond à l'interface du LAN (eth2 pour moi), et ethy (eth1) correspond à l'interface relié au speedtouch.
Prochaines étapes : affiner iptables, installer Squid, remettre samba, puis LAMP pour une appli intranet. Du boulot, mais j'y ai déjà touché (sauf squid).
encore merci.
Hors ligne