1

4. Configuration du réseau

Ce n'est pas tout d'avoir branché les ordinateurs en réseau. Il faut maintenant pouvoir les faire
dialoguer. Cette opération est plus simple avec un routeur, ou sous Windows XP.
C'est grâce au protocole TCP/IP que différentes informations circulent sur Internet. C'est avec ce
protocole que les différents ordinateurs du réseau, vont pouvoir dialoguer, qu'ils aient accès ou non à
Internet.
Pour être localiser sur le réseau, chaque machine doit avoir un identifiant et une adresse IP.

4.1. L'adresse IP

Un adresse IP se présente sous la forme de 4 nombres compris entre 0 et 255 (par exemple :
10.160.190.200 ou encore 192.168.0.1). Il y a environ 4 milliard de combinaisons possibles.
Les adresses de type 192.168.X.X et 10.X.X.X et les adresses comprises entre 172.16.0.0 et
172.31.255.255 ont été réservées pour identifier les PC des réseaux privés.
Dans le réseau, il faut en attribuer une à chaque ordinateurs.

4.2. Configuration du réseau avec routeur

Les routeurs gèrent les échanges de données entre les différents ordinateurs du réseau. Ils disposent
d'une fonction spéciale qui permet de configurer automatiquement les postes. Il s'agit du serveur
DHCP (Dynamic Host Configuration Protocol), qui distribue automatiquement des adresse IP à chaque
ordinateur du réseau. Afin d'être sûr des paramètres réseau des PC, il vaut mieux effectuer les
opérations suivantes : 
                Windows 98 ou Me :       Cliquer droit sur l'icône voisinage réseau, et faire "propriété".
                Windows 2000 ou XP :    Dans "Panneau de configuration", ouvrir "Connexion réseau".
Cliquer droit sur "Connexion au réseau local", puis faire Propriété".
Dans les deux cas, une fenêtre avec une liste de protocole apparaît. Cliquer sur TCP/IP puis sur
"propriété". Dans l'onglet Adresse IP", cocher "Obtenir automatiquement une adresse IP".

   

Ensuite, il faut activer le serveur DHCP du routeur : 

                            - Ouvrir l'outil de configuration du routeur
                            - Cocher la case d'activation dans le menu Réglage IP du réseau local.
 2

Cet outil d'administration permet aussi de définir la plage d'adresse IP de chaque PC.
Si c'est un routeur sans fil, il faut cocher la case qui active le point d'accès sans fil.

Afin que tous les ordinateurs du réseau aient accès à Internet, il faut partager la connexion Internet 
Le partage de connexion se fait d'un seul clic (le menu de configuration Internet du routeur ressemble à
celui du PC), et on peut même choisir les ordinateurs qui auront accès ou non à Internet.
Dans un premier temps, il faut indiquer les paramètres de connexion Internet (nom d'utilisateur et mot
de passe), puis demander au routeur d'obtenir une adresse IP auprès du fournisseur d'accès à Internet.
La plupart du temps il suffit de cocher la case "obtenir dynamiquement une adresse IP".
Le routeur sera identifié par le fournisseur d'accès comme un ordinateur qui se connecte directement au
Net.

On peut filtrer les machines qui peuvent utiliser la connexion. 

Pour cela, il faut :    
                                - Chercher l'adresse MAC utilisé par chaque poste : dans un invite de commande,
taper "ipconfig /all" (pour windows XP ou 2000). L'adresse MAC du pc s'affiche.
                                - Ouvrir l'outil de configuration du routeur et saisir cette adresse dans la partie
contrôle d'accès.

4.3. Configuration du réseau sans routeur

Windows 98 : La configuration sous Windows 98 est plus compliqué. Elle nécessite une série de
paramétrage à faire sur chaque PC du réseau.
                                - Accéder aux paramètre du réseau (panneau de configuration, réseau, puis sur la
ligne TCP/IP, et faire "Propriété")
                                - Dans l'onglet "Adresse IP", cocher l'option [spécifier une adresse IP]
                                - Taper une adresse IP privée (différente sur chacun des PC)
                                - Remplir le champs Masque de sous réseau (255.255.255.0)
                                - Partager la connexion Internet : Installer le partage de connexion Internet, puis
indiquer la passerelle à utiliser (sur le pc équipé du modem, ouvrir le menu démarrer, exécuter, et
taper Winipcfg, noter l'adresse IP qui s'affiche. Sur les autres PC, faire un clic droit sur l'icône
de voisinage réseau et choisir Propriété. Dans l'ongletPasserelle indiquez l'adresse IP du PC relié à
Internet. Le partage de connexion est enfin activé !

Windows XP : Avec Windows XP, la configuration est beaucoup plus simple.

                                - Lancer l'assistant configuration de réseau (panneau de configuration, connexion
réseau. Cliquer sur "créer un réseau domestique", puis suivre le différentes étapes.
 3

S'il y a une connexion Internet à partager, sur l'ordinateur équipé du modem choisirCet ordinateur se
connecte directement à Internet, puis à la fin, choisir la création d'un disque d'installation du réseau,
après avoir nommé le PC et avoir choisi un groupe de travail. L'assistant copie le programme
Netsetup.exe sur un disque amovible. Il suffit de lancer le programme sur les autres ordinateurs du
réseau. Ces derniers seront automatiquement paramétré.

4.4. Partage des fichiers et des imprimantes

Avec Windows, il est facile de mettre à disposition de tous, toute sorte de fichiers, des disques durs, et
même des imprimantes. Sous Windows 2000 ou XP, il est aussi possible d'attribuer des droits à chaque
utilisateur : définir qui peut accéder à quelle ressources, rendre certains dossiers confidentiels, empêcher
l'installation de programmes ou restreindre leur emploi.

Activer l'accès aux fichiers :

Sous Windows 2000 et XP, le partage de fichiers et d'imprimantes est activé par défaut.
Sous Windows 98 et Me, il suffit de sélectionner Propriété dans voisinage réseau, et cliquer sur le
bouton Partage de fichiers et d'imprimantes, puis cocher la case Permettre aux autres utilisateurs
d'accéder à mes fichiers.

Choisir les dossiers commun :

        - Cliquer avec le bouton droit de la souris sur le fichier ou le dossier à partager.
        - Dans Propriété, ouvrir l'onglet Partage, et cocher l'option partager en tant que et déterminer les
droits accordé aux autres utilisateurs.

Changer un dossier partagé en unité de disque :

        - Cliquer avec le bouton droit sur le répertoire partagé dans l'explorateur, et sélectionner Connecter
un lecteur réseau.
        - Choisir la lettre qui désignera le lecteur dans la liste déroulante,et cliquer sur Se reconnecter à
l'ouverture de session (cette procédure oblige Windows à considérer que le dossier est régulièrement
utilisé sur un autre poste du réseau, comme un disque dur à part entière. Le dossier apparait alors
automatiquement dans l'explorateur lors de chaque démarrage.
 4

Partager une imprimante :

Sur le PC qui aura l'imprimante : 

        - Autoriser l'utilisation commune des imprimantes en suivant la même procédure que les partage
de fichiers.
        - Installer l' imprimante et ses pilotes sur l'un des PC du réseau.
        - Ouvrir le dossier imprimante dans le panneau de configuration
        - Afficher les propriétés et sélectionner l'onglet Partage, et enfin, choisir Partager cette imprimante,
et nommer l'imprimante.

Sur les autres PC :

        - Installer les pilotes et utilitaires de l'imprimante sur les PC du réseau qui sont susceptible de
l'utiliser.
        - Ouvrir le dossier imprimante et choisir Ajout d'imprimante.
        - Cocher Imprimante réseau.
        - Taper le nom donné à l'imprimante.
 5

Mise en place d'une passerelle et des services intranet/internet

Introduction

Besoins

De nos jours, dans beaucoup d'entreprises, les réseaux Internet et Intranet se développent de plus en
plus.
Il existe de plus en plus de petites entreprises ou d'entreprises a petits budgets qui ont besoin d'une
connexion internet pour quelques postes (de l'ordre de la dizaine), d'un serveur web pour présenter leur
activité, de serveur mails, d'un serveur ssh pour l'administration a distance, etc...
Ou alors pour des entreprises plus importante, d'un vrai serveur de production, qui permet aux clients de
les contacter, 
et fait gagner du temps et de l'argent a tout le monde. 
Et ce pour un cout minimal. Tant au niveau de la mise en place que de la maintenance, pour, bien
évidemment un gain maximum.

Solutions

Il existe plusieurs solutions a notre disposition.

Le choix de la solution sera en particulier en fonction du matériel. En effet, il existe souvent une machine
qui est devenue obsolète pour faire de la bureautique, et traîne dans un placard.
La première possibilité qui s'offre a nous est d'installer une version de windows. Le problème est que si la
machine est vieille, la version de windows le sera aussi, et ne sera pas adaptée pour devenir une
machine dédiée a des services.
Il existe donc une deuxième solution, installer un linux (plus accessible qu'un unix). Pas de problemes de
licences, ni de vétusté du matériel, mais aussi plus d'efficacité (surtout dans le cas de vieilles machines),
et plus de stabilité. Nous nous axerons donc sur la deuxieme solution.

Pré-requis

Il faut tout d'abord une machine complète et en état de fonctionner.

Une connexion internet. Un cd d'installation de linux.

1. Installation

1.1. Système de Base

Quelque soit la distribution choisie (RedHat (système de rpm recommendé), Mandrake (système de rpm
recommendé), 
Debian (système apt/dselect recommendé), Suse (système de sources recommendé), 
Slackware Suse (système de sources recommendé)), il faut installer le systeme de base, mais le plus
minimal possible (en particulier avec les distributions que l'ont pourrait appeler "clés en main" comme le
sont la redhat et la mandrake.
Il s'agit d'installer le strict minimum, car il est inutile de disposer d'un mode graphique (par exemple) sur
une machine dédiée,de faible capacité, qui a besoin d'un maximum d'espace disque pour les services et
leur configuration, 
plutot que pour un mode graphique gourmant et inutile. 
Le système de base est composé entre autre:
du compilateur gcc
du noyau et de ses sources (pour une configuration plus efficace)
du serveur web (apache)
du serveur ftp (proftpd)
du serveur ssh (openssh)
du serveur de fichiers/partage netbios (samba)
du serveur mail (exim)
du proxy (squid)
(La liste des services est en fonction des besoins. J'ai précedemment énoncé quelques-uns des plus
communs et 

indispensables pour la mise en place de la passerelle.

d'iptables (pour le routage et le firewalling).
"Accessoirement" il est tres pratique d'avoir un navigateur en mode text (lynx par exemple), ainsi que
 6

wget 
(qui permet de telecharger sur internet lorsque l'ont connait le chemin exact)

1.2. Dernières versions

Il est possible que lors de l'installation il ne soit pas possible d'installer les services qui vont nous être
utiles par la suite.
Voilà donc succintement les procédures d'installation sur des machines i386 (rpm, apt ou src) des
paquets qui le 
nécessitent. (il n'est pas réellement indispensable de mettre a jour gcc si la machine ne servira pas a
compiler.)
Une petite vérification s'impose tout d'abord. Une fois le système démarré, faire
user@computer ~/ $ uname -r
qui devrait renvoyer quelque chose comme 2.x.x.
Si 2.x.x < 2.4.22 (qui est la derniere version stable en ce moment), alors il faut télécharger les sources
du kernel.
Les sources du noyau:
On les trouve sur kernel.org, et on peut les télécharger en cliquant sur le 
F 
(ou sous lynx se positionner sur le F et taper d pour "download").
Les enregistrer ou les copier (en root) dans /usr/src, puis
user@computer /usr/src $ tar -xjvf linux-2.4.22.tar.bz2
user@computer /usr/src $ cd linux-2.4.22
user@computer /usr/src/linux-2.4.22 $make menuconfig
Nous voilà maintenant à l'écran de configuration du kernel

Il serait malheureusement trop long et fastidieux d'expliquer en détail la configuration du kernel.

Néanmoins il faut garder à l'esprit que la configuration du kernel est faite en fonction des composants de
la machine.
En cas de doutes on peut toujours vérifier grâce aux commandes "# dmesg" (que l'ont peu agrémenter a
souhait 
de "|grep" comme par exemple pour rechercher quel module est a installer pour la carte réseau: "#
dmesg |grep eth0"
Ou encore pour avoir la liste des éléments présents sur le bus pci, "# lspci"
Une fois la configuration terminée, il faut compiler le noyau comme suit:
# make dep
# make bzImage
# make modules
# make modules_install
Une fois ceci terminé, et sans erreurs (ce qui peut prendre de quelques minutes a quelques dizaines de
minutes, 
en fonction de la puissance de la machine), il faut copier l'image dans le repertoire de "boot"
# cp arch/i386/boot/bzImage /boot Si Lilo est le "boot manager", il faut executer "#lilo" apres
avoir rajouté le chemin vers l'image dans /etc/lilo.conf
Et enfin redemarrer la machine pour vérifier que tout fonctionne bien :)
 7

L'installation d'apache Idem que pour le kernel, vérifier la version qui a été installé.Sachant que la
derniere version est la 1.3.39 
(ou 2.0.48. pour un serveur de production il faudra préférer la version 1.x a la 2).
Si tel n'est pas le cas, télécharger 
Les sources, ou 
Le rpm
L'installation a partir du rpm se fait selon la commande suivante: # rpm -ivh apache-1.3.29-
1.i386.rpm
L'installation a partir des source se fait de la même maniere que le kernel,

# tar -xzvf apache_1.3.29.tar.gz

# cd apache_1.3.29
# ./configure
(consulter les fichiers INSTALL et README pour
ce qui concerne les options et les modules,
comme php , mysql, ssl, etc)
# make
# make install

L'installation de Proftpd
Télécharger les sources
Télécharger le rpm
# rpm -ivh proftpd-1.2.8-4p.fr.i386.rpm 
ou bien
# tar -xzvf proftpd-1.2.9.tar.gz && cd proftpd-1.2.9 && make && make install
Pour le make, comme pour apache, lire les fichiers README et INSTALL pour plus d'informations quant
aux options.

L'installation de openSSH
Pour etre sûr d'avoir la derniere version, on Speut trouver les rpm et les sources 
ici;
Ensuite l'installation se déroule toujours de la même manière...

L'installation de Samba
La derniere version stable, ou presque (beta2) est la 3.0, dont les sources sont disponibles
ici
et le rpm ici;
Toujours la même procédure pour l'installation.

L'installation d'exim
le rpm
les sources Même installation.
Malheureusement, comme pour d'autres, les versions en sources sont plus récentes que les versions en
rpm.
S'il est vraiment question de sécurité, il vaut mieux prendre les sources plutôt que le rpm.

L'installation de squid
le rpm
les sources
Encore et toujours le même système d'installation.

1.3. Périphériques

Les périphériques indispensables dans la majorité des cas sont:

-un clavier
-un écran
-deux cartes réseaux (la premiere sur le modem ou la connexion internet, et la deuxieme sur le reseau
local.
La machine devient donc passerelle)
(la souris n'est pas utile car toute l'installation et la configuration peut se faire sans sur la machine, 
ou a partir d'une autre machine)

Pour l'écran et le clavier, il n'y a en général rien a configurer (sauf peut etre le "keymap" si vous êtes en 
clavier US sur un clavier FR. Auquel cas un # loadkeys fr résoudra ce problème.
 8

Quant aux cartes réseaux, elles sont généralement installées comme il faut lors de l'installation, et par la
suite, 
si le bon module est coché dans le kernel, les deux devraient fonctionner parfaitement.

2. Configuration

2.1. Serveur Web

Maintenant que votre serveur apache est en état de marche, il faut le configurer un minimum.
Dans apache.conf (/etc/apache/conf pour la majorité des distributions):
ServerName x.x.x.x.x ou www.foo.org On peut choisir entre une ip et un nom de domaine, ca sera le
nom que le serveur utilisera.
DocumentRoot /var/www Document racine, ou le serveur ira chercher les pages lors d'une requete.
(attention a bien vérifier que le dossier appartient au user apache
LoadModule php4_module /usr/lib/apache-extramodules/libphp4.so et AddModule
mod_php4.c et encore Include conf/addon-modules/mod_php.confSi on désire avoir apache sur
le serveur. Port 80 Listen 80 A moins que l'ont veuille utiliser le serveur sur un autre port il n'est pas
nécessaire de modifier le port.

La configuration de base (permettant au serveur d'etre effectif) est maintenant terminée.

2.2. Partage de fichiers

La configuration de samba se situe en général dans /etc/samba/smb.conf

Voici la configuration minimale:

[global]
workgroup = nom_de_votre_workgroup
netbios name = nom_netbios_de_la_machine
server string = Samba Server %v
log file = /var/log/samba/log.%m
security = user
encrypt passwords = yes
smb passwd file = /etc/samba/private/smbpasswd
dns proxy = no (si vous avez un proxy dns)
[homes]
comment = Home Directories
browseable = no
writable = yes
[Data]
comment = Data_folder
browseable = yes
path = /disk2
public = yes
valid users = user
writable = yes
Vous pouvez rajouter autant de partages de dossiers que vous voulez.
Pour qu'un user puisse acceder au partage auquel on veut qu'il accede, il faut taper dans une console:
# smbpasswd -a user. Cette commande rajoutera l'utilisateur a la liste des utilisateurs samba, et
permettra de definir le mot de passe qui lui est attribué

2.3. Partage connexion Internet

Pour partager la connexion internet i lfaut avoir activé le masquerading dans la configuration du kernel
auparavant, et ensuite taper dans une console:
# echo 1 > /proc/sys/net/ipv4/ip_forward
et
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Remplacer eth0 par ppp0 dans le cas d'une connection qui crée un pont (comme l'adsl par exemple)

2.4. Serveur SMTP

 9

Nous allons à présent voir la configuration pour utiliser un serveur smtp en local

domainlist local_domains = @
domainlist relay_to_domains =
hostlist relay_from_hosts = 192.168.0.0/24
(a remplacer par la classe d'ip utilisée)
acl_smtp_rcpt = acl_check_rcpt
never_users = root
host_lookup = *
rfc1413_hosts = *
rfc1413_query_timeout = 30s
ignore_bounce_errors_after = 2d
timeout_frozen_after = 7d
begin acl
acl_check_rcpt:
accept hosts = :
deny local_parts = ^.*[@%!/|]
accept local_parts = postmaster
domains = +local_domains
require verify = sender
accept domains = +local_domains
endpass
message = unknown user
verify = recipient
accept domains = +relay_to_domains
endpass
message = unrouteable address
verify = recipient
accept hosts = +relay_from_hosts
accept authenticated = *
deny message = relay not permitted
begin routers
dnslookup:
driver = dnslookup
domains = ! +local_domains
transport = remote_smtp
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more
system_aliases:
driver = redirect
allow_fail
allow_defer
data = ${lookup{$local_part}lsearch{/etc/aliases}}
# user = exim
file_transport = address_file
pipe_transport = address_pipe
userforward:
driver = redirect
check_local_user
file = $home/.forward
no_verify
no_expn
check_ancestor
# allow_filter
file_transport = address_file
pipe_transport = address_pipe
reply_transport = address_reply
localuser:
driver = accept
check_local_user
transport = local_delivery
 10

begin transports
remote_smtp:
driver = smtp
local_delivery:
driver = appendfile
file = /var/mail/$local_part
delivery_date_add
envelope_to_add
return_path_add
address_pipe:
driver = pipe
return_output
address_file:
driver = appendfile
delivery_date_add
envelope_to_add
return_path_add
address_reply:
driver = autoreply

2.5. Proxy

dans /etc/squid/squid.conf

#### BEGIN OF squid.conf ####

visible_hostname 193.251.42.197
http_port 8080
icp_port 0
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
cache_dir ufs /var/cache/squid/ 512 16 256
acl localnet src 192.168.0.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 21 23 80 443 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
cache_mgr adresse@email.com
cache_effective_user squid
cache_effective_group squid
log_icp_queries on
cachemgr_passwd my-secret-pass all
buffered_logs on
cache_store_log /var/log/squid/store.log
cache_access_log /var/log/squid/access.log

#### END OF squid.conf ####

2.6. Serveur FTP

dans /etc/proftpd/proftpd.conf

ServerName "nom de votre serveur ftp"

ServerType standalone
 11

DefaultServer on
Port 21
Umask 022
MaxInstances 30
User root
Group root

AllowOverwrite on

3. Administration, contrôle et automatisation

3.1. Serveur SSH

Le serveur ssh permet de se connecter sur la machine a distance, et de manière sécurisée. Pour des
taches d'administration, de vérification, l'installation de nouveaux services.
Les données sont cryptées, donc toutes les informations qui circuleront en ssh seront impossible a
comprendre si elles sont interceptées.

3.2. Dns Dynamique

ez-ipupdate est un des outils les plus utilisés pour les dnsdynamiques, tres simple d'utilisation, et gratuit.
Il permet de faire le lien entre un nom de domaine et l'ip dynamique.

3.3. Automatisation

De base, les systèmes unix vérifient que tout fonctionne bien, et en cas de probleme, le service s'arrete
et essaye de redemarrer.
On peut néanmois, grâce a la crontab (/etc/crontab) faire executer des taches bien précises, comme une
sauvegarde, l'arret ou le demarrage d'un service, le redemarage de la machine. Et ce en fonction de
l'heure, les minutes, les jours, les mois, et les jours des mois.

3.4. Contrôle

Pour contrôler que tout vas bien, on peut faire un petit script qui permettra de verifier l'etat des service
(grace au "ps"), la place disponible sur le disque dur (grâce a "df"), et ainsi envoyer le rapport sur une
adresse mail a un moment choisi. ou meme encore la rendre accessible sur une page web (envoie sur
par ftp sur un site distant, ou copie dans un repertoire spécifique sur le serveur web en local).
On peut aussi vérifier les fichiers de mots de passe pour être sûr qu'aucune modification n'a été faite
(possibilité de hack)

3.5. Divers

I le disque dur de la machine est de faible capacité, ou pour des raisons diverses, on peut "déporter"
certains documentroot du serveur web et du serveur ftp (par exemple).
Grâce a samba, on peut "monter" un lecteur réseau sur la machine, et ainsi y acceder de manière
transparente pour les utilisateurs.
Ce procédé s'avere aussi très utile pour faciliter la tache de sauvegarde (d'une base de données par
exemple) que l'ont va sauvegarder sur une autre machine (ce qui divise par deux le risque de probleme
en cas de defaillance matériel.) 

4. Conclusion

J'ai essayé de faire un résumé de la base de ce que j'ai fait pendant mon stage cet té.
Malheureusement il est difficile de parler de tout sans rentrer dans les détails (qui deviennent vite
important quand on recherche les performances et la sécurité).
J'ai donc présenté un maximum de choses indispensable sur un réseau local, avec les configurations
basiques.
 12

Pour toute personne interessé il reste relativement simple de comprendre ces fichiers de configuration
car la majeure partie de ces fichiers sont constitués de commentaires pour aider a la configuration