Remplacer une box par un serveur perso...

natrio · Le 02/03/2010, à 18:57

Bonjour a tous,

J'ai une livebox qui est tombé en panne. Conséquence: plus d'internet, et une réseau en l'aire! En attendant le remplacement, plus possible d'accéder au serveur, conflit d'ip et plein d'autre joyeuseté! Un réseau qui déconne complet.
Elle a été changé ce matin, mais la configuration est remise à 0. Je souhaite donc déporter tous les services de cette boite vers mon serveur tel que le NAT, dhcp etc...

Shéma:

L'objectif est que si la Live-box est supprimé, c'est seulement la fonction internet qui n'est plus disponible.

J'ai donc pour cela installer un serveur DHCP sur MonServeur. MonServeur gère le sous-réseau 192.168.10.x. Les postes sous windows accède à internet, par contre il ne parviennent pas à accéder au serveur web hébergé sur MonServeur.
Il y a également un serveur VPN sur MonServeur, comment rediriger et router les adresses correctement dans ces conditions.

Je mettrait à jour ce poste afin de préciser sur quelle problème je travaille:

1er Problème : Rendre l'accès au poste windows du server web de MonServeur. ==> n'hésitez pas me demander le résultat de quelque commandes, des précisions sur la configuration du réseau etc... ==> [RÉSOLU]

2nd problème : Reconfigurer backuppc. En effet celui-ci ne parvient pas a pinger les adresse se trouvant dans le sous-réseau 192.168.10.x. ==> [RÉSOLU]

3eme Problème : Configurer correctement iptables pour bloquer tous les ports sauf ceux nécessaire a la nvigation web et les port VPN.

Je vous remercie pour votre aide, et dévouement !

Dernière modification par natrio (Le 07/03/2010, à 21:38)

francoisp31 · Le 02/03/2010, à 20:49

oui ta solution est une des solutions propres.
bien sur il est pour le routage et la sécurité à la fois idéal d'avoir 2 réseaux

ton serveur carte_a 10.X carte_b 11.x par exemple
bien sur ton dHCP sur serveur devra offrir des adresses dans la plage 192.168.11.*

ton reséau 11.X est uniquement local si la box est down
sinon il traverse jusqu"a internet et depuis internet seuls les accès validés par le serveur permettent l'accès au réseau 11.X

============================

n'oublies pas d'ouvrir les ports sur le serveur avec iptables par exemple.

============================

pour tes stations windows qui voient pas le serveur http du serveur local quel est le message d'erreur ?
403 ? 404 ? autre ?

============================

natrio · Le 02/03/2010, à 22:24

Merci pour ta réponse...

pour tes stations windows qui voient pas le serveur http du serveur local quel est le message d'erreur ?
403 ? 404 ? autre ?

Non pas d'erreur. La page ne parvient pas se charger, mais le serveur de fichier (sous samba) est accessible.

n'oublies pas d'ouvrir les ports sur le serveur avec iptables par exemple.

Le NAT, se fait donc par iptables?

ton serveur carte_a 10.X carte_b 11.x par exemple
bien sur ton DHCP sur serveur devra offrir des adresses dans la plage 192.168.11.*
ton réseau 11.X est uniquement local si la box est down
sinon il traverse jusqu'à internet et depuis internet seuls les accès validés par le serveur permettent l'accès au réseau 11.X

Je n'est qu'une carte. Es-ce vraiment indispensable? Si c'est le cas je trouverai bien une autre carte...

Donc a priori seul le serveur DHCP est nécessaire pour mon réseau? La translation d'adresse se fait par ipatbles?

Je vais essayé avec un autre carte. Doit-je mettre mon serveur dans la DMZ de la LiveBox? L'interface dédié au net doit-elle réglé en DHCP, attribuer par la LiveBox? J'ai pas d'autres question pour l'instant mais sa pourrait venir!

brakbabord · Le 02/03/2010, à 23:15

Salut

J'ai fait un truc similaire y'a pas mal de temps (plus de 2 ans).
J'avais mis un serveur avec 2 cartes réseau qui faisait NAT et DHCP.

En gros sur une carte je branchais mon modem, qui me donnait l'adresse IP publique, et sur l'autre carte je branchais un hub, où je reliais mes PC. Ces derniers se voyaient attribuer une IP.

Le NAT fait le lien entre le réseau privé et le réseau public. Si tu peux configurer ta livebox en simple modem (c'est à dire qu'elle te donne l'IP publique) alors ton serveur aura besoin de deux cartes réseau. Si ta livebox reste en mode routeur (elle te distribue une IP du type 192.168...) alors tu n'as besoin que d'une seule carte réseau (car on reste sur du réseau privé donc pas besoin de NAT).

Configuration d'un serveur dhcp: http://opensourcien.blogdns.org/?article12/configuration-d-un-serveur-dhcp

natrio · Le 04/03/2010, à 10:06

Bonjour a tous,

J'ai pu me procurer une seconde carte réseau. Mon serveur DHCP est correctement configuré puisqu'il délivre correctement les adresse (en 192.168.10.x) au pc connecté a lui par l'intermédière d'un switch.

A priori je ne peu pas configurer la live-box en mode modem. Mais de toute façon je tien à la garder en mode routeur pour les postes nomade qui aurai besoin de se connecter en WiFi. Je laisse le dhcp activer sur celle-ci, elle gérera le sous-réseau 192.168.1.x.

Pour simplifier les PC devant se connecter en WiFi se connecterons sur le sous-réseau 192.168.1.x, et les pc fixes serons connecté sur le sous-réseau 192.168.10.x.

Les postes connecté en Wifi n'aurons besoins d'accéder au serveur (seulement au serveur et pas au sous réseau 192.168.10.x), et les postes fixe on besoin d'avoir accès a internet.

Ou doit-je agir sur le serveur pour gérer tous cela? La table de routage? Ouvrir le port 80 sur les deux interfaces ?

francoisp31 · Le 04/03/2010, à 11:17

Le mieux est effectivement d'utiliser une table de routage par exemple avec iptables et un blocage sécurité du style fail2ban ou autre...

iptables est en terme de config un fichier plat avec N regles.
idéalement 1 par port
+ les forwarders necessaires.

natrio · Le 04/03/2010, à 15:07

Typiquement, a quoi ressemble se genre de règle iptable?
S'il faut passer par iptable pour le routage, a quoi sert route? (route-n, route add etc....)

pbollard · Le 04/03/2010, à 16:25

Salut,
Au pire, tu peux utiliser un routeur tel que le fameux WRT54GL. Avec un firmware alternatif, ça fonctionne très bien et c'est vraiment complet. Tu peux même avoir un serveur OpenVPN intégré...

http://fr.wikipedia.org/wiki/WRT54GL
http://www.polarcloud.com/tomato
http://tomatovpn.keithmoyer.com

francoisp31 · Le 04/03/2010, à 16:32

un exemple iptables un peu vrac style :

modprobe iptable_nat
modprobe iptable_filter
modprobe x_tables
modprobe xt_tcpudp
echo " "
echo "- Module up : [OK]"
echo "-- Regles Server --"
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
echo "- Vidage : [OK]"
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo "- Autoriser loopback : [OK]"
# translation
iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT
echo "- Autoriser Translation : [OK]"
echo ""
echo "-- Regles Terminal --"
# Autoriser les requetes DNS, FTP, HTTP, NTP (pour les mises a jour)
#iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 81 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 1194 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 67 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 3306 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 5222 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 873 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 137 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 5901 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 6001 -j ACCEPT
echo "- Autoriser les requetes DNS, FTP, HTTP, NTP, VPN "
echo "-- DHCP, MYSQL, JABBER, PUB, Netbios : [OK]"
# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo "- Autoriser ping : [OK]"
#autorise internet
iptables -t filter -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -m tcp --sport 81 -j ACCEPT
iptables -t filter -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
echo "- Autoriser HTTP : [OK]"
#autorise DHCP
iptables -t filter -A INPUT -p tcp -m tcp --sport 67 -j ACCEPT
echo "- Autoriser DHCP : [OK]"
#autorise ssh
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT 
echo "- Autoriser SSH : [OK]"
#autorise dns
iptables -t filter -A INPUT -p tcp  --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp -m tcp --sport 953 -j ACCEPT
echo "- Autoriser DNS : [OK]"
#autorise smtp
iptables -t filter -A INPUT -p tcp  --dport 25 -j ACCEPT
echo "- Autoriser SMTP : [OK]"
#autorise imap
iptables -t filter -A INPUT -p tcp  --dport 143 -j ACCEPT
echo "- Autoriser IMAP : [OK]"
#autorise vpn
iptables -t filter -A INPUT -p tcp --dport 1194 -j ACCEPT
echo "- Autoriser VPN : [OK]"
#autorise mysql
iptables -t filter -A INPUT -p tcp --dport 3306 -j ACCEPT
echo "- Autoriser MYSQL : [OK]"
#autorise jabberd (chat)
iptables -t filter -A INPUT -p tcp --dport 5222 -j ACCEPT
echo "- Autoriser jabberd (chat) XMPP : [OK]"
#autorise fichier PUB et save
iptables -t filter -A INPUT -p tcp --dport 873 -j ACCEPT
echo "- Autoriser fichier PUB et save  RSYNC : [OK]"
#autorise submission
iptables -t filter -A INPUT -p tcp --dport 587 -j ACCEPT
echo "- Autoriser submission : [OK]"
#autorise netbios
iptables -t filter -A INPUT -p tcp --dport 137 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 137 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 138 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 138 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 139 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 445 -j ACCEPT
echo "- Autoriser netbios names service : [OK]"
#VNC :
iptables -t filter -A INPUT -p udp --sport 5901 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 6001 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 5901 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 6001 -j ACCEPT
echo "- Autoriser vnc : [OK]"
# affiche les log dans /var/log/iptables.log
iptables -t filter -A INPUT -j LOG --log-prefix "Iptables INPUT dropped : " --log-level info
iptables -t filter -A OUTPUT -j LOG --log-prefix "Iptables OUPUT dropped : " --log-level info
echo "- LOG actif : [OK]"
# autoriser NRPE pour nagios
iptables -I RH-Firewall-1-INPUT -p tcp -m tcp \u2013dport 5666 -j ACCEPT
echo "- NRPE(nagios) actif : [OK]"
# Interdire toute connexion sortante,entrante
iptables -t filter -A OUTPUT -j DROP
iptables -t filter -A INPUT -j DROP
iptables -t filter -A FORWARD -j DROP
echo "- Interdire toute connexion sortante, rentrante : [OK]"
echo 1 > /proc/sys/net/ipv4/ip_forward

natrio · Le 05/03/2010, à 11:27

Salut,
Au pire, tu peux utiliser un routeur tel que le fameux WRT54GL. Avec un firmware alternatif, ça fonctionne très bien et c'est vraiment complet. Tu peux même avoir un serveur OpenVPN intégré...
http://fr.wikipedia.org/wiki/WRT54GL
http://www.polarcloud.com/tomato
http://tomatovpn.keithmoyer.com

Et ouai... Qu'es-ce que j'aurai aimé que mon entreprise me paye cela... Mais un pc trainant dans le coin est moins chère que ce genre de truc...

Bref j'ai réussi accéder a internet depuis le sous-réseau 192.168.10.x.
Merci a francoisp31, qui m'a pas mal éclairé mais pour ceux qui serait dans le même problème que moi je ne saurai que trop conseiller cette page de la doc :
http://doc.ubuntu-fr.org/partage_de_connexion_internet?s[]=serveur&s[]=ics

Dernière modification par natrio (Le 05/03/2010, à 17:01)

DrDam · Le 05/03/2010, à 12:29

bonjour ...

un peu dans le même esprit ... si j'ajoute un serveur web, doit il est différent du "serveur/routeur" ?

natrio · Le 05/03/2010, à 13:43

Dans mon cas, il y a un serveur web et un serveur de fichier (smb) sur "serveur/routeur".

DrDam · Le 05/03/2010, à 14:03

ok

natrio · Le 05/03/2010, à 15:52

Maintenant que l'architecture du réseau est arrêté, il me faut reconfigurer comme il faut certaine chose. Je commence par backuppc (voir premier poste).

Je souhaite donc changer l'adresse des machine devant être sauvegardé afin de les faire correspondre au sous-réseau 192.168.10.x. J'ai commencer par créer simplement une nouvelle (dans backuppc) machine pointant vers une machine de test, son adresse ip est 192.168.10.10.

Le ping de cette machine fonctionne depuis le serveur avec la commande :

ping 192.168.10.10

Mais le ping effectué par backuppc pour savoir s'il peut lancer la sauvegarde sur ce PC ne fonctionne pas, l'erreur retourné par backuppc est :

2010-03-05 14:43:55 no ping response

Ou agir sur le serveur? Au niveau d'iptables? De backuppc?

Quelque présssion :
La commande :

smbclient \\\\192.168.10.10\\Documents\\

fonctionne très bien depuis le serveur.

Merci

Dernière modification par natrio (Le 05/03/2010, à 16:33)

philpep-tlse · Le 05/03/2010, à 23:48

Hmm pour en revenir au problème original -> faire en sorte que les PC puissent communiquer entres eux même quand la box est down, tu peux faire ça avec un simple switch je pense (pas besoin d'allumer un pc 24h/24 juste pour ça).

box 192.168.0.1 <--> switch <---+ ... PC0
+ ... PC1
+ ... PC2

La communication entre PC1 et PC0 ne passera pas pas la box.

Dernière modification par philpep-tlse (Le 05/03/2010, à 23:48)

natrio · Le 06/03/2010, à 01:01

Hmm pour en revenir au problème original -> faire en sorte que les PC puissent communiquer entres eux même quand la box est down, tu peux faire ça avec un simple switch je pense (pas besoin d'allumer un pc 24h/24 juste pour ça).
box 192.168.0.1 <--> switch <---+ ... PC0
+ ... PC1
+ ... PC2
La communication entre PC1 et PC0 ne passera pas pas la box.

Oui, mais le serveur offre d'autre services : VPN, Serveur de sauvegarde, de fichier et apache en locale. Je suis conscient que d'un point de vu sécurité le mieux est tout de même de pas poser ces services centralisé de cette manière, mais je n'ai pas vraiment le choix.
Mais merci de ta contribution.

natrio · Le 07/03/2010, à 21:44

Bon, la configuration touche a sa fin. Il reste a configurer correctement le VPN et les règles iptables. Tous les port doivent-être bloqué. Sauf ceux nécessaire a la navigation internet, et ceux du VPN. Demain je posterai les règles déja en place.

en ce qui concerne les règle iptable pour le VPN, elle doivent permettre de visualiser l'ensemble du sous-réseau 192.168.10.x. Es-ce possible? en faite je pense que les règle doivent toute s'appliquer sur l'interface eth0, celle connecté au net. Je rappelle que j'ai placé le serveur dans la DMZ de la livebox. Es-ce cette approche que je doit avoir pour avoir une sécurité satisfaisant ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 02/03/2010, à 18:57

Remplacer une box par un serveur perso...

#2 Le 02/03/2010, à 20:49

Re : Remplacer une box par un serveur perso...

#3 Le 02/03/2010, à 22:24

Re : Remplacer une box par un serveur perso...

#4 Le 02/03/2010, à 23:15

Re : Remplacer une box par un serveur perso...

#5 Le 04/03/2010, à 10:06

Re : Remplacer une box par un serveur perso...

#6 Le 04/03/2010, à 11:17

Re : Remplacer une box par un serveur perso...

#7 Le 04/03/2010, à 15:07

Re : Remplacer une box par un serveur perso...

#8 Le 04/03/2010, à 16:25

Re : Remplacer une box par un serveur perso...

#9 Le 04/03/2010, à 16:32

Re : Remplacer une box par un serveur perso...

#10 Le 05/03/2010, à 11:27

Re : Remplacer une box par un serveur perso...

#11 Le 05/03/2010, à 12:29

Re : Remplacer une box par un serveur perso...

#12 Le 05/03/2010, à 13:43

Re : Remplacer une box par un serveur perso...

#13 Le 05/03/2010, à 14:03

Re : Remplacer une box par un serveur perso...

#14 Le 05/03/2010, à 15:52

Re : Remplacer une box par un serveur perso...

#15 Le 05/03/2010, à 23:48

Re : Remplacer une box par un serveur perso...

#16 Le 06/03/2010, à 01:01

Re : Remplacer une box par un serveur perso...

#17 Le 07/03/2010, à 21:44

Re : Remplacer une box par un serveur perso...

Pied de page des forums