Vous êtes sur la page 1sur 77

Administration des Services Réseaux

sous Linux
Dr. Yahia Benmoussa

Maître de conférences en informatique

Département Ingénierie des Systèmes Électriques et Électroniques

Juin 2017
Administration des Services Réseaux

Table des matières

I Cours 7
1 Introduction à l'administration des réseaux 8
1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.2 Composition d'un réseau informatique . . . . . . . . . . . . . 9
1.2.1 Ordinateurs . . . . . . . . . . . . . . . . . . . . . . . . 9
1.2.2 Support de transmission . . . . . . . . . . . . . . . . . 10
1.2.3 Équipements d'interconnexion réseaux . . . . . . . . . 10
1.3 Services et protocoles de communication . . . . . . . . . . . . 11
1.3.1 Services réseaux . . . . . . . . . . . . . . . . . . . . . . 11
1.3.2 Protocoles de communication . . . . . . . . . . . . . . 11
1.4 Solutions réseaux matérielles vs logicielles . . . . . . . . . . . 12
1.5 Acteurs majeurs dans le domaine des réseaux informatiques . . 12
1.6 Solutions réseaux sous Linux . . . . . . . . . . . . . . . . . . . 13
1.6.1 Linux et le réseau . . . . . . . . . . . . . . . . . . . . . 13
1.6.2 Gestion du réseau dans Linux . . . . . . . . . . . . . . 14
1.6.3 Service réseau Linux . . . . . . . . . . . . . . . . . . . 14
1.7 Les métiers liés au réseaux informatiques . . . . . . . . . . . . 15
1.7.1 Administrateur réseaux . . . . . . . . . . . . . . . . . . 15
1.7.2 Administrateur système . . . . . . . . . . . . . . . . . 16
1.7.3 Architecte réseaux . . . . . . . . . . . . . . . . . . . . 16

2 Résolution des problèmes réseaux 17


2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.2 Méthodologie d'investigation de problèmes . . . . . . . . . . . 17
2.2.1 Couche application . . . . . . . . . . . . . . . . . . . . 17
2.2.2 Couche transport . . . . . . . . . . . . . . . . . . . . . 18
2.2.3 Couche réseau . . . . . . . . . . . . . . . . . . . . . . . 18
2.2.4 Couche liaison de donnée et physique . . . . . . . . . . 19

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 1


Administration des Services Réseaux

2.3 Outils d'investigation de problèmes . . . . . . . . . . . . . . . 19


2.3.1 ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.3.2 traceroute . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.3.3 netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.3.4 nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.3.5 wireshark . . . . . . . . . . . . . . . . . . . . . . . . . 21

3 Adressage IP 22
3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2 Plan d'adressage . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3 Adressage statique et dynamique . . . . . . . . . . . . . . . . 23
3.3.1 Adressage statique . . . . . . . . . . . . . . . . . . . . 23
3.3.2 Adressage dynamique . . . . . . . . . . . . . . . . . . . 23
3.4 Protocole DHCP . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.5 Conguration d'adresse statique . . . . . . . . . . . . . . . . . 24
3.6 Conguration d'adresse dynamique . . . . . . . . . . . . . . . 25
3.7 Persistance de conguration des interfaces . . . . . . . . . . . 25
3.7.1 Adresse statique . . . . . . . . . . . . . . . . . . . . . . 25
3.7.2 Adresse dynamique . . . . . . . . . . . . . . . . . . . . 25
3.8 L'outil NetworkManager . . . . . . . . . . . . . . . . . . . . . 26
3.9 Mise en oeuvre d'un serveur DHCP . . . . . . . . . . . . . . . 27
3.9.1 Installation de isc-dhcp-server . . . . . . . . . . . . . . 27
3.9.2 Conguration de isc-dhcp-server . . . . . . . . . . . . . 27

4 Résolution de noms 29
4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.2 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.2.1 Principes . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.2.2 Organisation des noms d'ordinateurs dans les serveurs
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2.3 Zone DNS . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2.4 Serveur ayant autorité sur une zone DNS . . . . . . . . 31
4.2.5 Serveur n'ayant pas autorité sur une zone DNS . . . . 32
4.2.6 Type d'enregistrements DNS . . . . . . . . . . . . . . . 32
4.2.7 Résolution de nom DNS . . . . . . . . . . . . . . . . . 33
4.2.8 Format des messages DNS . . . . . . . . . . . . . . . . 35
4.3 Mise en oeuvre de DNS . . . . . . . . . . . . . . . . . . . . . . 35
4.3.1 Client DNS . . . . . . . . . . . . . . . . . . . . . . . . 35

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 2


Administration des Services Réseaux

4.3.2 Serveur DNS . . . . . . . . . . . . . . . . . . . . . . . 36


4.4 Investigation des problèmes DNS avec dig . . . . . . . . . . . 37

5 Messagerie électronique 39
5.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5.2 Principes de la messagerie . . . . . . . . . . . . . . . . . . . . 39
5.2.1 Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.2.2 Protocoles . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.2.3 Délivrance d'un message . . . . . . . . . . . . . . . . . 41
5.3 Protocoles de messagerie . . . . . . . . . . . . . . . . . . . . . 42
5.3.1 SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.3.2 POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.3.3 IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.4 Mise en oeuvre d'un service de messagerie . . . . . . . . . . . 43
5.4.1 Installation et conguration de Thunderbird . . . . . . 43
5.4.2 Installation de postx . . . . . . . . . . . . . . . . . . 43
5.4.3 Installation de dovecot-imapd . . . . . . . . . . . . . . 44

6 Routage 45
6.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
6.2 Principe du routage . . . . . . . . . . . . . . . . . . . . . . . . 45
6.2.1 Table de routage . . . . . . . . . . . . . . . . . . . . . 46
6.2.2 Routage statique . . . . . . . . . . . . . . . . . . . . . 46
6.2.3 Routage dynamique . . . . . . . . . . . . . . . . . . . . 46
6.3 Le routage sous Linux . . . . . . . . . . . . . . . . . . . . . . 47
6.3.1 Routage statique . . . . . . . . . . . . . . . . . . . . . 48
6.3.2 Routage dynamique . . . . . . . . . . . . . . . . . . . . 48

7 Filtrage et translation d'adresse 50


7.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
7.2 Filtrage de paquets . . . . . . . . . . . . . . . . . . . . . . . . 50
7.3 Translation d'adresse . . . . . . . . . . . . . . . . . . . . . . . 51
7.4 Translation d'adresse source . . . . . . . . . . . . . . . . . . . 51
7.5 Translation d'adresse destination . . . . . . . . . . . . . . . . 52
7.6 Netlter de Linux . . . . . . . . . . . . . . . . . . . . . . . . . 53
7.6.1 Tables Netlter . . . . . . . . . . . . . . . . . . . . . . 53
7.6.2 Chaînes Netlter . . . . . . . . . . . . . . . . . . . . . 53
7.7 La commande iptables . . . . . . . . . . . . . . . . . . . . . . 55

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 3


Administration des Services Réseaux

7.7.1 Options sur une table . . . . . . . . . . . . . . . . . . . 55


7.7.2 Cibles . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
7.7.3 Actions sur une cible . . . . . . . . . . . . . . . . . . . 57

II Travaux Pratiques 58
1 Adressage IP 59
1.1 Conguration IP . . . . . . . . . . . . . . . . . . . . . . . . . 59
1.2 L'outils NetworkManager . . . . . . . . . . . . . . . . . . . . . 60
1.3 Le protocole DHCP . . . . . . . . . . . . . . . . . . . . . . . . 60
1.4 Conguration d'un serveur DHCP . . . . . . . . . . . . . . . . 60

2 DNS 62
2.1 Résolution de nom coté client . . . . . . . . . . . . . . . . . . 62
2.2 Installation du serveur DNS bind . . . . . . . . . . . . . . . . 62
2.3 Commande dig . . . . . . . . . . . . . . . . . . . . . . . . . . 62
2.4 Serveur DNS primaire / secondaire . . . . . . . . . . . . . . . 63
2.5 Conguration de la délégation . . . . . . . . . . . . . . . . . . 64

3 Messagerie électronique 65
3.1 Installation et conguration d'un serveur de messagerie sous
Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.2 Conguration d'un serveur IMAP00 . . . . . . . . . . . . . . . 66
3.3 Installation et conguration d'un client de messagerie . . . . . 68
3.4 Annexe : Conguration de Thunderbird . . . . . . . . . . . . . 68

4 Routage 70
4.1 Routage statique . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.2 Activation du routage . . . . . . . . . . . . . . . . . . . . . . . 70
4.3 Routage dynamique . . . . . . . . . . . . . . . . . . . . . . . . 70

5 Filtrage et translation d'adresse 73


5.1 Tables et chaine netlter . . . . . . . . . . . . . . . . . . . . . 73
5.2 Commande iptables (1) . . . . . . . . . . . . . . . . . . . . . . 73
5.3 Commande iptables (2) . . . . . . . . . . . . . . . . . . . . . . 74
5.4 Commande iptables (3) . . . . . . . . . . . . . . . . . . . . . . 75

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 4


Administration des Services Réseaux

Introduction générale

Le présent document est un support pour le cours Administration des


services réseauxdispensé pour des étudiants de Master 2 Télécommunication.
Nous y présentons les principes de base de l'administration réseau sous le
système d'exploitation Linux.

Méthodologie
Le contenu est divisé en deux paries : Cours et travaux pratiques. Chaque
cours présente en premier les concepts de base et les protocoles liés à un
service réseau donné de façon générale et indépendemment de tout système
sous-adjacent. Ensuite, le service réseau en question est traité dans le cas
particulier du système d'exploitation Linux en expliquant les étapes d'instal-
lation et conguration.
A chaque cours sont associés des travaux pratiques (TP) sur lesquels les
étudiants peuvent s'exercer. L'objectif de ces TP est de pratiquer concrète-
ment les concepts vus dans le cours à travers l'installation et la conguration
des service réseaux. Une grande importance est donnée dans les TP à l'aspect
analyse et résolution des problèmes réseaux en utilisant les outils adéquats.
Ainsi, souvent, l'étudiant est amené à prendre des traces réseaux, à les ana-
lyser et à y retrouver les descriptions des protocoles faites dans le cours.

Plan du cours
Le premiers cours est une introduction à l'administration des réseaux. On
y retrouve quelques rappels sur les réseaux informatiques. On y décrit de fa-
çon générale les diérents types de solutions réseaux utilisées et en particulier
celles utilisé sous les systèmes d'exploitation Linux.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 5


Administration des Services Réseaux

Le deuxièmes cours décrit les outils et méthode utilisés pour résoudre des
problèmes réseaux. Ce cours est sensé fournir à l'étudiant les outils nécessaires
pour diagnostiquer et résoudre des problèmes dans la suite des cours et TPs.
Le troisièmes cours décrit les adressages IP statique et dynamiques et
leurs mise en oeuvre.
Le quatrièmes cours décrit le service de résolution de noms (DNS) et sa
mise en oeuvre.
Le cinquième cours décrit le service de messagerie électronique et sa mise
en oeuvre.
Le sixième cours décrit la fonctionalité de routage ainsi que sa mise en
peivre avec Linux.
Le septième cours décrit les techniques de translation d'adresse et de
ltrage de paquets et donne des explications sur leurs utilisation dans les
réseaux.

Pré-requis
Pour bien aborder le cours Administration des services réseau, l'édudiant
est supposé ayant les pré-requis de base suivants :

 Système d'exploitation Linux : Installation et commandes de base.


 Réseaux Informatiques : Modèle OSI et Protocoles réseaux.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 6


Administration des Services Réseaux

Première partie

Cours

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 7


Administration des Services Réseaux

Cours 1

Introduction à l'administration

des réseaux

Objectifs
 Identier les composants d'un réseaux informatiques
 Avoir un aperçu sur les diérents type de solutions réseaux
 Comprendre l'avantage des solutions Open source
 Comprendre le rôle d'un administrateur de réseaux

1.1 Introduction
Les réseaux informatiques sont de plus en plus grands et complexes. Par
ailleurs, ils deviennent critiques dans la plupart des administrations et en-
treprises. En eet, toute interruption ou disfonctionnement dans les réseaux
peut avoir des répercussions économiques très graves.
Pour assurer le bon fonctionnement de ces réseaux, des personnes dédiées
assurent leurs administrations, ce qui consiste à exécuter un ensemble de
tâche de gestion et conguration. La personne qui exécute ces tâches est
‚
appelé un Administrateur Réseaux . ‚
Dans ce qui suit, nous présenterons de façon générale l'environnemt ma-
tériel et logiciel dans lequel un administrateur réseau eectue ses tâches.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 8


Administration des Services Réseaux

Fig. 1.1  Exemple d'un réseau informatique

1.2 Composition d'un réseau informatique


Un réseau informatique est un ensemble d'ordinateurs reliés entre eux
par des équipements d'interconnexion. Sur les ordinateurs s'exécutent
des programmes et des services réseaux qui échangent des informations
selon des protocoles de communication. La Figure 1.1 donne un aperçu
d'un réseau informatique typique.

1.2.1 Ordinateurs
1.2.1.1 Poste de travail
Un poste de travail est un ordinateur sur lequel sont exécutés les pro-
grammes des utilisateurs et qui sont de plusieurs types :

 Productivité : Traitement de texte, tableur, messagerie, ...


 Développement : Compilateurs, débogueur, IDE, ...
 Divertissement : Jeux, multimédia, ...
 Métiers : Comptabilité, gestion des ressources humaines, gestion com-
merciale, ...

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 9


Administration des Services Réseaux

Fig. 1.2  Serveur HP ProLiant DL380 Gen9

1.2.1.2 Serveurs
Un serveur est un ordinateur avec de grande capacité de calcul et de
stockage. Par rapport à un poste de travail, un serveur doit satisfaire un
niveau de abilité plus élevé. Ainsi, il est composé souvent d'un matériel
redondant (disques, alimentation électrique). Ainsi, en cas de panne d'un
composant, le serveur peut continuer à fonctionner.
Un serveur sert à exécuter un service réseau et est, en général, dépourvu
d'un écran d'achage. Il est administré à distance par des outils d'adminis-
tration à distance tels que vnc, bureau distant, ssh, ... etc. La Figure 1.2
montre un exemple d'un serveur avec la conguration suivante: Processeur
Xeon E5-2620V4, 16 Go RAM et plusieurs disques de 1 Téra Octets chacun.

1.2.2 Support de transmission


C'est ce qui sert à transmettre le signal associé aux données réseau. Il
dépend de la technologie de transmission des couche liaison de données et
physique. Il peut être laire (paires torsadées, bre optique, ...etc) ou sans
sans ls (réseaux Wi, UMTS, ...etc).

1.2.3 Équipements d'interconnexion réseaux


Les équipements d'interconnexion sont de plusieurs types. Chacun a une
fonctionnalité précise à exécuter.

1.2.3.1 Commutateurs (switch)


C'est un élément d'interconnexion actif agissant au niveau des couches
physique et liaison de données. Il permet d'inter-connecter des ordinateur

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 10


Administration des Services Réseaux

dans le même réseau informatique. Les commutateurs les plus utilisés sont
de type Ethernet.

1.2.3.2 Routeurs
C'est un dispositif d'interconnexion de réseaux informatiques permettant
d'assurer le routage des paquets entre deux réseaux ou plus an de déterminer
le chemin qu'un paquet de données va emprunter.

1.2.3.3 Pare-feu (rewall)


C'est un dispositif d'interconnexion et de sécurité qui permet de ltrer
les paquets selon plusieurs critères (Adresses IP, protocoles, ...etc).

1.2.3.4 Passerelles (gateway)


C'est un dispositif d'interconnexion permettant de faire la liaison entre
deux réseaux utilisant chacun un protocole diérent de l'autre. Par exemple,
une passerelle internet peut convertir entre le protocole Wi (Poste de tra-
vail ↔ passerelle) et le protocole ADSL (passerelle ↔ Fournisseur d'accès à
Internet).

1.3 Services et protocoles de communication


1.3.1 Services réseaux
Un service réseau est un programme qui exécute une fonction utile dans
le réseau. Il existe deux types :
 Services d'infrastructure, qui sont utiles pour le bon fonctionnement de
tout le réseau. Par exemple, DHCP, DNS, Authentication, ...etc.
 Services utilisateurs, qui sont utiles pour certains programmes utilisa-
teur (Proxy Web, Base de donnée, Serveur de chiers).

1.3.2 Protocoles de communication


Dans les réseaux informatiques et de télécommunications, un protocole
de communication est la spécication d'un ensemble de règles qui dénissent
comment deux ordinateurs doivent communiquer.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 11


Administration des Services Réseaux

Les protocoles de communications sont dénis par des organismes inter-


nationaux. Dans le domaine des réseaux informatiques, c'est l'IETF (Internet
Engineering Task Force) qui est responsable de l'élaboration des protocoles.
Les protocoles sont rédigés par des experts techniques sous forme de docu-
ments appelés RFC (Request For Comments).
La compréhension des protocoles de communication est nécessaire pour
administrer un réseaux et surtout pour résoudre les éventuels problèmes qui
peuvent survenir.

1.4 Solutions réseaux matérielles vs logicielles


Les solutions réseaux logicielles sont implémentées en utilisant des sys-
tèmes d'exploitation et plate-formes matériels standards. Par exemple, on
peut réaliser le routage avec un Poste de travail qui exécute le systèmes
d'exploitation Linux.
Par contre, les solution dites matérielles, sont basée sur des plate-formes
spéciques optimisées pour les tâches pour lesquelles elles ont été conçues.
Leurs avantages sont :

 la abilité, grâce à l'utilisation des composants redondants et des mé-


moire ash (pas de disques mécaniques).
 performance, grâce à l'utilisation de circuits électroniques spécialisés
(ASIC, DSP) qui améliorent la performance de certains algorithmes
complexes (cryptographie, contrôle des erreurs, ...)
 Sécurité, grâce à l'utilisation d'un nombre minimum de composants
logiciels ce qui réduit les risques de bugs et de failles de sécurité.
 Ecacité énergétique, grâce à l'utilisation de platefomes embarquées.

1.5 Acteurs majeurs dans le domaine des ré-


seaux informatiques
Il existe des acteurs majeurs qui dominent le domaine des réseaux infor-
matiques. La Figure 1.3 liste quelques une de ces grandes entreprises :

 les fabriquants d'équipements d'interconnexion tels que Cisco, Juniper,


Huwawei, ZTE, Alcatel-Lucent, Ericsson, HP.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 12


Administration des Services Réseaux

Fig. 1.3  Acteurs majeurs dans les réseaux informatiques

 les éditeurs logiciels SAP (ERP), Oracle (Base de données) et Microsoft


(ERP, Base de donnéés, solutions collaboratives).
 les fournisseur de services cloud tels que Google, Amazon, Citrix.

Les solutions fournies par ses entreprises sont dites propriétaires. Leurs
utilisation sont conditionnées par le payement de licences. Par ailleurs, l'en-
tretien et la mise à jours de ces solutions est aussi soumis à des contrats de
support payants. Souvent, de telles solutions ne sont utilisées que dans les
grandes entreprises qui ont des moyen conséquents.

1.6 Solutions réseaux sous Linux


Le système d'exploitation Linux est une alternative à l'utilisation des
solution réseaux propriétaires. En eet, Linux peut implémenter toutes les
fonctionnalités et service réseaux au dessus de couche liaison de données. Sa
abilité et sa sécurité font que son utilisation augmente rapidement aussi
bien dans les petites entreprises que dans les grandes.

1.6.1 Linux et le réseau


L'une des raisons qui font la abilité de la gestion du réseau dans Linux
est liée au fait qu'il est implémenté dans le noyau. En eet, le noyau Linux
est un ensemble de code open source qui sont rigoureusement développés et
testés par des milliers de personnes dans le monde.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 13


Administration des Services Réseaux

Application
Services réseaux dans
Présentation Espace utilisateur l'espace utilisateur : Ex. DNS,
Messagerie, HTTP, ...
Session
Noyau Linux

Routage Netfilter TCP/IP


Transport
Réseau
eth0 eth1 wlan0

driver1 driver2
Liaison
Physique Carte Carte Carte
réseaux réseaux réseaux Matériel

Fig. 1.4  La gestion du réseau dans Linux

1.6.2 Gestion du réseau dans Linux


La Figure 1.4 illustre les diérentes fonctionnalités réseau dans Linux.
La première interface avec le réseau se fait via les drivers des périphériques
réseaux (interfaces réseaux) implémentés dans l'espace noyau. Les couches
transport (TCP/UPP) et réseaux (IP) sont également implémentées dans le
noyau en plus des fonctionnalité de routage et de ltrage.
Dans l'espace utilisateur, sont implémentés les services réseaux de la
couche application (Ex. DNS, HTTP, DHCP, ...etc). Ces services accèdent
aux fonctionnalités réseau du noyau via une API appelée Socket.

1.6.3 Service réseau Linux


Un service réseau Linux est un processus qui s'exécute en arrière plan.
La conguration d'un service réseau se fait, en général, via un ou plusieurs
chiers de conguration qui se trouve dans le répertoire /etc. Les informa-
tions sur l'exécution d'un service réseau (messages d'information, statistiques
d'utilisation, erreurs d'exécution, ...etc) sont, en général, enregistrés dans un
ou plusieurs chiers log (journaux). Voire Figure 1.5.
Par exemple, le service HTTP (serveur Web) sous Linux est nommé
apache2. Sa conguration est dans le chier /etc/apache2/apache2.conf et ses

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 14


Administration des Services Réseaux

Fichier de
Service réseau Fichier log
configuration

Noyau Linux
Driver

Interface
Réseau

Fig. 1.5  Exemple d'un réseau informatique

chier log sont /var/log/apache2/access.log et /var/log/apache2/error.log.


Le contrôle des services réseaux se fait sous Linux avec la commande
systectl. Les options start, stop, restart, status permettent le démarrage,
l'arrêt, achage de l'état et le redémarrage d'un service.

$ sudo systemctl start apache2.service #Démarrage


$ sudo systemctl status apache2.service #État
$ sudo systemctl stop apache2.service #Arrêt
$ sudo systemctl restart apache2.service #Redémarrage

1.7 Les métiers liés au réseaux informatiques


1.7.1 Administrateur réseaux
Un administrateur réseau est une personne chargée de la gestion des élé-
ments du réseau tels que les équipements d'interconnexion (switch, routeur,
rewall, gateway) et des services d'infrastructure (DHCP. DNS, ...etc). Un
administrateur réseau peut parfois être un administrateur système.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 15


Administration des Services Réseaux

1.7.2 Administrateur système


Un administrateur systèmes est une personne chargée de la gestion des
systèmes d'exploitation et éventuellement de services réseaux qui s'y exé-
cutent (DHCP, DNS, Web, Messagerie, Base de données, ...etc).

1.7.3 Architecte réseaux


Un architecte réseaux est une personne dont la tâche est de concevoir,
planier et dimensionner un réseau informatique.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 16


Administration des Services Réseaux

Cours 2

Résolution des problèmes réseaux

Objectifs
 Apprendre à investiguer un problème réseau méthodiquement
 Avoir un premier aperçu sur les outils d'investigation.

2.1 Introduction
Les réseaux informatiques sont, en général, très complexes (plusieurs ser-
vices et plusieurs équipements inter-connectés). La résolution de problèmes
(troubleshooting) peut s'avérer très dicile si on n'adopte pas une démarche
d'investigation méthodique.

2.2 Méthodologie d'investigation de problèmes


Une bonne méthodologie consiste à suivre une analyse de haut en bas (top
to bottom). En eet, devant un problème de fonctionnement d'un service
réseau, il est recommandé de commencer l'investigation des couches de haut
niveau puis descendre vers les couches de bas niveau.

2.2.1 Couche application


Dans ce niveau, il est recommandé de consulter les chier logs (journaux)
du système d'exploitation des services réseaux pour détecter d'éventuelles

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 17


Administration des Services Réseaux

erreurs ou avertissement (warning). Par exemple, la consultation des chiers


log d'un serveur Web peut faire apparaître des problèmes de droit d'accès
aux pages Web demandées.
Si les investigations sont infructueuses, on peut avoir recours à une analyse
plus approfondie des protocoles de la couche application (Ex. HTTP, DNS,
RTP, ...) avec un analyseur de paquets (Ex. wireshark).
Dans ce niveau, il est également utile de vérier le bon fonctionnement
du service de résolution de noms (DNS) qui peut causer des problèmes en
cas d'anomalie dans son fonctionnent. L'outil dig permet de réaliser des
investigation sur DNS.

2.2.2 Couche transport


Dans ce niveau, il est recommandé de vérier l'état des socket UDP et
TCP. Cela peut se faire en exécutant la commande netstat pour vérier si
les sockets écoutent sur les bon numéro de port.
Si c'est le cas, alors l'administrateur peut vérier l'ouverture des ports
sur tout le chemin réseau avec la commande nmap. A noter que, si nmap
détecte que les ports sont bloqués, alors cela peut signier que le problème
est lié à un éventuel ltrage réalisé par un ou plisieurs pare-feux du réseau.

2.2.3 Couche réseau


Le moyen le plus simple et le plus rapide de vérier les problèmes à ce
niveau est de tester la connectivité avec la commande ping.
Devant un problème de connectivité avec une adresse IP cible, Il est re-
‚ ‚
commandé de pinger , dans l'ordre suivant l'adresse de :

1. l'interface réseau local


2. l'ordinateur dans le même réseau.
3. la passerelle.
4. l'ordinateur dans un réseau diérent.

En cas de problème de connectivité avec un ordinateur dans un réseau


diérent, la commande fournit des informations sur le routeur qui bloque le
trac.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 18


Administration des Services Réseaux

2.2.4 Couche liaison de donnée et physique


Dans ce niveau, il est recommandé de vérier le bon branchement des
câbles dans l'interface de l'ordinateur et dans les commutateurs. Le problème
peut éventuellement se situer dans le support de transmission (cables).

2.3 Outils d'investigation de problèmes


Dans ce qui suit, nous présenterons les outils d'investigation les plus uti-
lisés pour la résolution des problèmes réseaux.

2.3.1 ping
La commande ping permet de tester l'accessibilité d'une autre machine
à travers un réseau IP. La commande fournit d'autres informations très pré-
cieuses telles que le TTL et la latence (round-trip /temps aller-retour).

$ ping dz.wikipedia.org
PING r, r.knams.wikimedia.org (145.97.39.137): 56 data bytes
64 bytes from 145.97.39.137: icmp_seq=0 ttl=53 time=51.9 ms
64 bytes from 145.97.39.137: icmp_seq=1 ttl=53 time=16.9 ms
64 bytes from 145.97.39.137: icmp_seq=2 ttl=53 time=16.7 ms

 rr.knams.wikimedia.org ping statistics 


3 packets transmitted, 3 packets received, 0 % packet loss
round-trip min/avg/max = 16.7/28.5/51.9 ms

Par exemple, la sortie de la commande ping plus haut montre que le


serveur dz.wikipedia.org est accessible (0% de perte de paquets). Un TTL=53
indique que 11 routeurs séparent l'ordinateur qui a exécuté la commande ping
et le serveur dz.wikipedia.org. Enn, la moyenne de temps nécessaire pour
qu'un paquet fasse un aller/retour est de 25.5 ms.

2.3.2 traceroute
traceroute permet de suivre les chemins qu'un paquet IP va prendre
pour aller de l'ordinateur local vers une autre ordinateur connecté au ré-
seau IP. Elle est utile pour détecter les erreurs de routage des paquets IP.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 19


Administration des Services Réseaux

Par exemple, la commande traceroute suivante ache tous les routeurs par
lesquels transitent les paquets IP destinés au serveurs dz.wikipedia.org.

$ traceroute dz.wikipedia.org
Détermination de l'itinéraire vers rr.lopar.wikimedia.org [212.85.150.132]
1 24 ms 22 ms 22 ms 1.32.202.62.cust.bluewin.ch [62.202.32.1]
2 22 ms 24 ms 22 ms 1.32.202.62.cust.bluewin.ch [62.202.32.1]
...
...
9 284 ms 39 ms 39 ms feth0-bestelle.tlcy.fr.core.ielo.net [212.85.144.6]
10 90 ms 158 ms 83 ms chloe.wikimedia.org [212.85.150.132]
Itinéraire déterminé.

2.3.3 netstat
La commande netstat permet de fournir des informations utiles sur le
réseau. Elle peut être utilisée notamment pour acher les numéros de ports
des sockets qui sont à l'écoute dans un ordinateur. Par exemple, la commande
suivante liste les informations en format numérique (-n) de toute les sockets
(-a) tcp (-t) ipv4 (inet) et le nom du processus (-p) associé.

$ netstat -apn -t -inet

2.3.4 nmap
Nmap (Network Mapper) est un outil d'audit de sécurité. Il permet de
scanner de grands réseaux, notamment de vérier l'état des ports tcp (ou-
vert/fermé) sur un ordinateur distant. Par exemple, la commande suivante
liste tous les ports TCP ouvert compris entre 1 et 1024.

$ nmap -sS p 1-1024 192.168.1.1

Si nmap détecte qu'un port sur un ordinateur distant est fermé, il


se peut que ça soit plutôt du à un ltrage réalisé par un rewall.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 20


Administration des Services Réseaux

Filtre Signication Exemple


ip.addr Adresse IP ip.addr == 10.1.1.1
ip.src Adresse IP source ip.src=10.1.1.1
ip.dst Adresse IP destination ip.src=10.1.1.2
udp.port °
N de port UDP udp.port == 83
udp.srcport °
N de port UDP source udp.srcport == 1234
udp.dstport °
N de port UDP destination udp.dstport == 83
tcp.port °
N de port TCP source tcp.port == 80
tcp.srcport °
N de port TCP source tcp.srcport == 1234
tcp.dstport °
N de port TCP destination tcp.dstport == 80

Tab. 2.1  Exemples de ltres wireshark

2.3.5 wireshark
Wireshark est analyseur de paquets réseaux (packet snier) multiplate-
forme supportant une multitude de protocoles. Il permet de :

 examiner les données qui transitent sur le réseau


 enregistrer les captures dans un chier sur le disque
 analyser les protocoles
 créer des ltres

Pour une meilleure lisibilité des traces, wireshark permet d'appliquer des
ltres sur les paquets capturés. La Table 2.1 liste quelques ltres utiles.
Des opérateurs logiques peuvent êtres appliqués pour un ltrage plus
précis. Par exemple, le ltre suivant permet d'acher les paquets impliqués
dans un échange DHCP.

(udp.srcport == 68 and udp.dstport == 67 ) or (udp.srcport == 67 and


udp.dstport == 68 )

Il est recommandé de commencer toute investigation sur un pro-


blème par un ping vers un ordinateur dans le même réseau. Une
erreur à ce niveau indique que le problème est dans les couches
physique et/ou liaison de données.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 21


Administration des Services Réseaux

Cours 3

Adressage IP

Objectifs
 Comprendre la diérence entre l'adressage statique et dynamique.
 Maîtriser conguration IP statique sous Linux
 Comprendre le fonctionnement du protocole DHCP
 Maîtriser la conguration DHCP (client et serveur) sous Linux

3.1 Introduction
La dénition des adresses IP des ordinateurs est la première tâche que
doit réaliser un administrateur réseau. Dans la suite, nous présenterons les
deux types d'adressage statique et dynamique et leurs mise en oeuvre sous
Linux.

3.2 Plan d'adressage


La plan d'adressage dénit une méthodologie pour associer des adresses
IP aux ordinateurs appartenant à un réseau. Le choix du plan d'adressage
dépend de plusieurs critères :

 taille du réseau
 architecture du réseau (LAN, WAN, ...)
 visibilité réseau (privé ou public)

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 22


Administration des Services Réseaux

3.3 Adressage statique et dynamique


Dans un réseau IP, il existe deux façons d'associer des adresses à des
ordinateurs.

3.3.1 Adressage statique


Les adresses sont congurées manuellement et associées statiquement aux
ordinateurs du réseau. L'adressage statique est simple à mettre en oeuvre
dans de petits réseaux mais il est très dicile à gérer dans les réseaux de
grandes tailles.

3.3.2 Adressage dynamique


Les adresses sont congurées automatiquement et associées dynamique-
ment aux ordinateurs. Un serveur DHCP est utilisé pour satisfaire les re-
quêtes des ordinateurs qui souhaitent obtenir une adresse IP dans le réseau.
Cela permet de faciliter la conguration des adresses et de centraliser sa
gestion.

3.4 Protocole DHCP


Le protocole DHCP a été proposé, initialement, dans la RFC 2131. Il
permet la conguration dynamique des ordinateurs dans un réseau. Il dénit
la communication entre un ordinateur souhaitant obtenir une conguration (
adresse IP, serveur DNS, passerelle par défaut, ...) et un serveur de congu-
ration. L'échange DHCP entre un client et serveur est décrit dans la Figure
3.1. Ci-après, on retrouve la signication de chaque message.

 DISCOVERY  diusion Broadcast d'un datagramme qui s'adresse


au port 67 de n'importe quel serveur à l'écoute sur ce port. Ce data-
gramme comporte entre autres l'adresse physique (MAC) du client.
 OFFER Tout serveur DHCP ayant reçu ce datagramme, s'il est
en mesure de proposer une adresse sur le réseau auquel appartient le
client, envoie une ore au client (sur son port 68), identié par son
adresse physique. Cette ore comporte l'adresse IP du serveur, ainsi
que l'adresse IP et le masque de sous-réseau qu'il propose au client. Il
se peut que plusieurs ores soient adressées au client

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 23


Administration des Services Réseaux

Fig. 3.1  protocole DHCP

 REQUEST  Le client retient une des ores reçues (la première


qui lui parvient), et diuse sur le réseau un datagramme de requête
DHCP (DHCP REQUEST). Ce datagramme comporte l'adresse IP du
serveur et celle qui vient d'être proposée au client. Elle a pour eet
de demander au serveur choisi, l'assignation de cette adresse, l'envoi
éventuel des valeurs des paramètres, et d'informer les autres serveurs
qui ont fait une ore qui n'a pas été retenue.
 ACKNOWLEDGE 
Le serveur DHCP élabore un datagramme
d'accusé de réception (DHCP ACK) qui assigne au client l'adresse IP
et son masque de sous-réseau, la durée du bail de cette adresse, et
éventuellement d'autres paramètres. Par exemple, l'adresse IP de la
passerelle par défaut, l'adresses IP des serveurs DNS, ... etc.

3.5 Conguration d'adresse statique


La conguration d'une interface peut se faire statiquement avec la com-
mande ifcong. Par exemple :

$ sudo ifcong enp5s0 192.168.0.1 netmask 255.255.255.0

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 24


Administration des Services Réseaux

3.6 Conguration d'adresse dynamique


Une demande de conguration dynamique peut être envoyée dans le ré-
seau en utilisant la commande dhclient. Par exemple, la commande c-après
permet d'envoyer une requête DHCP dans le réseau et de congurer l'inter-
face Ethernet enp5s0 avec les informations reçues.

$ sudo dhclient enp5s0

dhclient est paramétrée avec le chier /etc/dhcp/dhclient.conf. Par exemple,


la ligne suivante demande à dhclient de rajouter une demande explicite (dans
‚ ‚‚
le message REQUEST) des informations : sous-réseau , adresse de broad-
‚‚ ‚‚ ‚ ‚
cast , passerelle par defaut , serveur DBS et serveur NTP . ‚
request subnet-mask, broadcast-address, routers, domain-name, domain-
name-servers, ntp-servers;

3.7 Persistance de conguration des interfaces


Pour rendre la conguration d'une interface réseau persistante après un
redémarrage de l'ordinateur, il faut l'enregistrer dans /etc/network/inter-
faces (man 5 interfaces). Ensuite, les interfaces peuvent être congurées/de-
congurées plus facilement avec les commandes ifup et ifdown. Ci-dessous,
la syntaxe de conguration à utiliser.

3.7.1 Adresse statique


# interfaces(5) le used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback
iface enp5s0 inet static
address <adresse IP>netmask <masque>gateway <addresse de la pas-
serelle>

3.7.2 Adresse dynamique

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 25


Administration des Services Réseaux

# interfaces(5) le used by ifup(8) and ifdown(8)


auto lo
iface lo inet loopback
iface <nom interface>inet dhcp

3.8 L'outil NetworkManager


L'outil NetworkManager (fourni dans Ubuntu) garantit une gestion plus
exible et plus facile des interfaces réseaux. Il est très utile, notamment, pour
la gestion des interfaces Wi. En eet, il permet de lister les réseaux wi, de

Fig. 3.2  L'interface graphique de nmtui

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 26


Administration des Services Réseaux

se connecter à ces réseaux et de gérer l'authentication.


NetworkManager est composé d'un processus qui s'exécute en arrière
plan. NetworkManager fournit également plusieurs interfaces graphiques pour
faciliter la conguration :

 nm-connection-editor (Environnement gnome)


 nmtui (terminal) (Voire Figure 3.2).

Les informations de conguration réseau créés par NetworkManager sont


enregistrées dans le répertoire /etc/NetworkManager.

Dans Ubuntu 16.04, NetworkManager est activé par défaut. Si on


souhaite continuer à travailler avec ifup et le cher /etc/network/in-
terfaces, il faut aecter la valeur false au paramètre managed
 
dans le
chier NetworKManager.conf. (Voir man 5 NetworkManager.conf)

3.9 Mise en oeuvre d'un serveur DHCP


Le service DHCP est implémenté dans Linux dans le paquetage isc-dhcp-
server.

3.9.1 Installation de isc-dhcp-server


sudo apt-get install isc-dhcp-server

3.9.2 Conguration de isc-dhcp-server


Deux chiers sont utilisés pour congurer isc-dhcp-server

3.9.2.1 Le chier /etc/default/isc-dhcp-server


Dans ce chier, on sélectionne l'interface sur laquelle le serveur doit écou-
ter les requêtes DHCP.

INTERFACES=enp5s0 

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 27


Administration des Services Réseaux

3.9.2.2 Le chier /etc/dhcp/dhcpd.conf


Dans ce chier de conguration, on paramètre le service DHCP. Dans
l'exemple ci-dessous, on dénit l'adresse du réseau (192.168.1.0/255.255.255.0).
Les adresses allouées dynamiquement appartiennent à l'intervalle 192.168.1.20
⇒ 192.168.1.30. Le nom de domaine est umbb.dz et les adresses du serveur
DNS, de la passerelle par de faut sont 192.168.1.50 et 192.168.1.1 respec-
tivement. Enn, la durée du bail DHCP (durée de validité des information
DHCP) est de 600 secondes par défaut et ne peut dépasser 7200 secondes.

subnet 192.168.1.0 netmask 255.255.255.0


range 192.168.1.20 192.168.1.30;
option domain-name-servers 192.168.1.50;
option domain-name umbb.dz;
option routers 192.168.1.1;
default-lease-time 600;
max-lease-time 7200;

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 28


Administration des Services Réseaux

Cours 4

Résolution de noms

Objectifs
 Comprendre les principes de base de DNS (domaines, zones, délé-
gation, autorité)
 Comprendre le protocole DNS
 Maitriser la mise en oeuvre de DNS coté client et serveur sous Linux

4.1 Introduction
L'Internet est constitué de dizaines de milliers de réseaux. Ces réseaux
sont composés de sous-réseaux et les sous-réseaux sont constitués à leurs
tours d'ordinateurs identiés par des adresse IP.
Le nombre d'ordinateurs est si important qu'il n'est pas pratique d'utiliser
l'adresse IP à chaque fois que l'on souhaite communiquer avec l'un deux.
Au début, la résolution des noms d'ordinateurs se faisait à l'aide d'un
chier HOST.TXT qui maintenait une correspondance entre les noms d'or-
dinateurs et leurs adresses IP. Ce chier était mis à jour manuellement et
transféré par réseau vers les ordinateurs. Or, l'augmentation de la taille du
réseau Internet rendait cette solution impossible à gérer. En 1983, l'IETF a
publié dans les RFC 882 et RFC 883 les spécications d'un nouveau système
de résolution de nom appelé DNS : Domain Name System.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 29


Administration des Services Réseaux

Fig. 4.1  Résolution de nom itérative

4.2 DNS
4.2.1 Principes
Les noms d'ordinateurs sont organisés sous forme d'une arborescence.
Cette arborescence est composée de plusieurs domaines qui peuvent être, à
leur tours, composés en sous-domaines. Comme illustré dans la Figure 4.1,
le domaine de niveau 0 est appelé domaine 'root' (racine). Ce dernier est
composé des sous-domaines de niveau 1 :

 com : organisations commerciales ; ibm.com


 edu : organisations concernant l'education ; mit.edu
 gov : organisations gouvernementales ; nsf.gov
 net : organisations réseau Internet ; worldnet.net
 org : organisations non commerciales ; wikipedia.org
 int : organisations internationales ; nato.int
 organisations nationales : dz, uk, de, it, us, au, ca, se.
 mil : organisations militaires ; army.mil

Ensuite, chaque domaine de niveau 1 peut être décomosé en sous-domaines.


Par exemple, le domaine '.com' comporte le sous-domaine '.google' qui contient
les noms d'ordinateurs 'www' et 'support'.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 30


Administration des Services Réseaux

ca dz

bc ab on qb domaine

zone

Fig. 4.2  Zone DNS

4.2.2 Organisation des noms d'ordinateurs dans les ser-


veurs DNS
Les noms DNS sont maintenus dans une base de données distribuées.
Cette base de données est volumineuse et ne peux être, donc, gérée par un seul
serveur. Pour pouvoir gérer la base de donnée DNS, la gestion de sous parties
de la base de donnée peut être déléguée à d'autre serveurs. La délégation
de gestion DNS se fait sur la base de zone DNS.

4.2.3 Zone DNS


Un sous-domaine DNS peut être divisé en zone tel que illusré dans la
Figure 4.2. La gestion de chaque zone est sous la responsabilité d'un serveur
DNS.

4.2.4 Serveur ayant autorité sur une zone DNS


Un serveur DNS ayant autorité sur une zone a la responsabilité de gérer
les noms d'ordinateurs appartenant à cette zone :

 Ajout
 Suppression
 Modication

Il peut résoudre le nom de n'importe quel ordinateur dans la zone associée


sans faire appel à un autre serveur DNS. Les serveurs ayant autorité sont de
deux types : primaire et secondaire.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 31


Administration des Services Réseaux

Type Description
A Adresse IPV4 d'un ordinateur
NS Serveur DNS ayant autorité sur un domaine
SOA Serveur primaire d'un domaine
MX Serveur de messagerie d'un domaine

Tab. 4.1  Type d'enregistrement DNS

4.2.4.1 Primaire
Les seuls moyens de mettre à jours les noms d'ordinateurs des zones DNS
dans un serveur DNS primaire sont :

 la modication de sa base de donnée sur disque.


 mise à jour dynamique (DNS Dynamique).

4.2.4.2 Secondaire
Le seul moyen de mettre à jours les noms d'ordinateurs des zones DNS
associées un un serveur secondaire est de transférer des données à partir
du serveur primaire. Le transfert de zones entre un serveur primaire et un
serveur secondaire est eectué de façon périodique. Les serveurs secondaires
sont utilisés en cas de pannes des serveurs primaires.

4.2.5 Serveur n'ayant pas autorité sur une zone DNS


Un serveur qui n'a pas autorité sur une zone est en général un serveur
cache. Ce type de serveur est utilisé pour améliorer les performances (temps
de résolution de nom) et optimiser l'utilisation de la bande passante. Les
résolutions de noms eectuées par un serveur n'ayant pas autorité sur une
zone peuvent ne pas être correctes. Pour permettre leur mise à jour, les
informations enregistrées dans un serveur cache ont une durée de vie limitée
(TTL) au bout de laquelle elles sont supprimées.

4.2.6 Type d'enregistrements DNS


La Table 4.1 liste les diérents types d'enregistrements présents dans une
base de donées DNS.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 32


Administration des Services Réseaux

Serveur
Requete pour la résolution Navigateur Web
DNS
du nom www.umbb.dz
Serveur Web

Resolver
Serveur Serveur
Réponse=192.93.28.7
DNS DNS
192.93.28.7

Fig. 4.3  Résolution DNS client/serveur

4.2.7 Résolution de nom DNS


La résolution de nom s'eectue sous forme de requêtes client/serveur. Voir
Figure 4.3. Au niveau client, le resolver interroge les serveur DNS, interprète
les réponses puis retourne les information aux applications.
Le processus de résolution de nom se déroule de deux manières diérentes :
récursive ou itérative.

4.2.7.1 Récursive
Dans une résolution de nom récursive, le serveur DNS interrogé doit faire
tout pour résoudre la requête reçue (Voir Figure 4.4 :
 si le nom recherché appartient à une zone sur laquelle il détient l'auto-
rité, il cherche la réponse dans sa base de donnée,
 sinon, il cherche dans son cache,
 sinon, il transfert la requête vers un autre serveur, attend la réponse
puis la transmet au client.
Le serveur DNS répond soit par une réponse, soit par un code d'erreur.
A noter que certains serveurs DNS désactivent les réponses aux requêtes
récursives (par exemple, les serveurs racine) pour des raisons de performance.

4.2.7.2 Itérative
Dans une résolution de nom itérative, le serveur DNS interrogé renvois
le client vers le serveur DNS le plus approprié pour résoudre sa requête. Le
client DNS interroge à nouveau le serveur DNS dont il a reçu l'adresse. Le
processus continue jusqu'à la résolution du nom. Voir Figure 4.5.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 33


Administration des Services Réseaux

Serveur ayant Serveur


autorité sur DNS
info.umbb.dz 4
193.194.80.114
www.info.umbb.dz 3

Serveur Serveur ayant


DNS autorité sur
umbb.dz
2
www.info.umbb.dz
5
193.194.80.114
1
www.info.umbb.dz Serveur
Resolver DNS
193.194.80.114
6
Client

Fig. 4.4  Résolution de nom récursive

Serveur ayant Serveur


autoritée sur DNS
info.umbb.dz
www.info.umbb.dz
6 5
193.194.80.114 4 Serveur
ns.info.umbb.dz DNS
ns.umbb.dz
3
www.info.umbb.dz 193.194.80.114
Serveur DNS
ns.umbb.dz 2 Serveur
DNS ns.umbb.dz
www.info.umbb.dz www.info.umbb.dz

Resolver 1

Client

Fig. 4.5  Résolution de nom itérative

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 34


Administration des Services Réseaux

Fig. 4.6  Format d'une réponse DNS

4.2.8 Format des messages DNS


Les messages réponse comportent trois sections :

 Réponse
 Serveurs ayant autorité
 Informations additionnelles

En plus d'un ensemble de ags :

 AA : Si = 1, la réponse vient d'un serveur ayant autorité.


 RD : Si = 1, résolution récursive demandée.
 RA : Si = 1, le serveur supporte la résolution récursive.

4.3 Mise en oeuvre de DNS


4.3.1 Client DNS
Dans Linux, le premier niveau de résolution de noms dans Linux est fait
avec le chier /etc/hosts (Voir man hosts). Dans cette phase, le protocole

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 35


Administration des Services Réseaux

DNS n'est pas utilisé. Ensuite, si le nom d'ordinateur recherché n'est pas
trouvé, alors on interroge le serveur DNS.
La conguration du serveur DNS à interroger se fait dans /etc/resolv.conf.
En général, ce chier ne doit pas être édité manuellement. Il est modié par
des outils Ifup/ifdown ou NatworkManager. Sa syntaxe est comme suit :

nameserver <Adresse IP du serveur DNS>


domain <Domaine local auquel appartient l'ordinateur>
search <liste de domaines>
Dans Ubuntu, toute les requête DNS sont redirigés vers un serveur DNS
local nommé dnsmasq qui écoute sur l'adresse 127.0.1.1 port 53. Donc, par
défault, le cheir etc/resolv.conf est comme suit :

# Dynamic resolv.conf(5) le for glibc resolver(3) generated by resolv-


conf(8) # DO NOT EDIT THIS FILE BY HAND  YOUR CHANGES
WILL BE OVERWRITTEN
nameserver 127.0.1.1

4.3.2 Serveur DNS


Dans Linux, le serveur bind (named) est le plus utilisé dans le réseau
Internet.

4.3.2.1 Installation de Bind


$ sudo apt-get install bind9

4.3.2.2 Conguration de Bind


La conguration de bind se fait dans le chier /etc/bind/named.conf (man
named.conf). Ce chier permet de dénir les options et les zones.

4.3.2.2.1 Conguration DNS primaire/secondaire


zone ‚umbb.dz‚{
// Serveur primaire telecom.umbb.dz type master;
le /etc/bind/db.umbb.dz;
// Adresse IP du serveur secondaire autorisé à transférer cette zone

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 36


Administration des Services Réseaux

Fig. 4.7  Exemple d'un chier d'enregistrements DNS

allow-transfer {
192.168.4.14;
};
};

// serveur secondaire de telecom.umbb.dz


‚
zone /etc/bind/telecom.umbb.dz { type slave;‚
‚
le db.telecom.umbb.dz ; ‚
// Adresse IP du serveur DNS primaire
masters { 192.168.4.12; };
};

Par ailleurs, les enregistrements DNS sont dénis dans des chiers textes.
Par exemple, le listing ci-dessous montre le chier des enregistrements DNS
/etc/bind/db.umbb.dz référencés dans le chier de conguration du serveur
DNS primaire décrit plus haut.

4.4 Investigation des problèmes DNS avec dig


La commande dig (man dig) permet d'interroger un serveur DNS et d'in-
terpréter ses réponses. La syntaxe de dig est comme suit :

$ dig [@server] [-t type] <nom enregistrement>

Le listing ci-dessous montre un exemple de sortie de la commande dig.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 37


Administration des Services Réseaux

$dig @ns.umbb.dz -t A www.umbb.dz


; DiG 9.10.3-P4-Ubuntu @ns.umbb.dz www.umbb.dz; (1 server found)
;; global options: +cmd
;; Got answer:
;; HEADER opcode: QUERY, status: NOERROR, id: 40895
;; ags: qr aa rd ra; QUERY: 1, ANSWER:1, AUTHORITY:1, ADDITIONAL:2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, ags:; udp: 4096
;; QUESTION SECTION:
;www.umbb.dz. IN A
;; ANSWER SECTION:
www.umbb.dz. 259200 IN A 193.194.80.114
;; AUTHORITY SECTION:
umbb.dz. 259200 IN NS ns.umbb.dz.
;; ADDITIONAL SECTION:
ns.umbb.dz. 259200 IN A 193.194.80.102

On peut y retrouver les information suivantes :

 ‚ ‚
le réponse vient d'un serveur ayant autorité sur umbb.dz (ag aa)
 une requête récursive est demandée. (ag rd)
 la résolution récursive est supportée par le serveur. (ag ra)
 ‚ ‚
le serveur ayant autorité sur umbb.dz est ns.umbb.dz
 l'adresse IP de www.umbb.dz est 193.194.80.102

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 38


Administration des Services Réseaux

Cours 5

Messagerie électronique

Objectifs
 Comprendre le fonctionnement des diérents protocoles impliqué
dans la transmission des messages électroniques (SMTP, DNS, POP
et IMAP).
 Maîtriser la conguration d'un client et d'un serveur de messagerie
sous Linux.

5.1 Introduction
La messagerie électronique a connu ses débuts avec 'Mail Box Protocol'
et le programme SNSMSG (1971) créé par Ray Tomlinson, l'inventeur de
l'utilisation de @ dans les adresses e-mail. La messagerie électronique sous
sa forme moderne est apparue avec la proposition per l'IETF du protocole
SMTP en 1981 (SMTP RFC 788 ).

5.2 Principes de la messagerie


La messagerie électronique est un ensemble de programmes qui gèrent
l'acheminement des messages dans un système distribué basé un modèle
client/serveur. Les boites de messagerie (mail box) sont hébergés au niveau
de serveurs. Les utilisateurs accèdent à leurs boite de messagerie via des pro-
grammes clients. Plusieurs programmes (agents) et protocoles sont impliqués

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 39


Administration des Services Réseaux

Fig. 5.1  Agents intervenant dans la délivrance des messages éléctroniques

dans le processus de délivrance des messages :

5.2.1 Agents
Les diérents agents intervenant dans le processus de délivrance des mes-
sages sont (Voir Figure 5.1):

 MUA ( Mail User Agent ) : Interface avec l'utilisateur (Client de mes-


sagerie).
 MTA ( Mail Transfer Agent ) : Délivre le message vers le serveur de la
boite de messagerie destinataire.
 MDA ( Mail Delivery Agent ) : Enregistre les messages avec le format
approprié et le met à disposition du destinataire.

5.2.2 Protocoles
Plusieurs protocoles sont utilisés dans un système de messagerie électro-
nique.

 SMTP : Entre le MUA et le MTA.


 DNS : Entre le MTA et un serveur DNS
 POP/IMAP : Entre un MDA et MUA

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 40


Administration des Services Réseaux

Fig. 5.2  Délivrance d'un message éléctronique

5.2.3 Délivrance d'un message


La délivrance d'un message électronique de l'utilisateur alice@a.org vers
le destinataire bob@b.org se déroule selon le scénario suivant (Voir Figure
5.2 :
1. Le MUA de Alice formate et envoie un message (destine à bob@b.org)
au MTA local (associé au domaine  a.org  (SMTP)
2. le MTA associé à  a.org  recherche le MTA associé à  b.org  (DNS)
3. Le serveur DNS répond par le nom (mx.b.org) et l'adresse du serveur
MTA associé à b.org (Il peut y avoir plusieurs)
4. Le MSA envoie le message au MTA mx.b.org (SMTP)
5. Le MDA enregistre les messages qui peuvent ensuite être récupérés par
le MUA de Bob (POP/IMAP).

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 41


Administration des Services Réseaux

5.3 Protocoles de messagerie


5.3.1 SMTP
SMTP (Simple Mail Transfer Protocol) est un protocole orienté connexion
basé sur des messages texte. Il a comme objectif l'acheminement des message
ente MTA. Il propose trois types de messages :

 MAIL FROM 
Adresse messagerie source
 RCPT TO 
Adresse messagerie destination
 DATA 
Corps du message

A la réception d'une message, un serveur SMTP répond par un code


renseignant le statut de l'exécution de la commande. Ce code est composé
de trois chires :

 2xx  La demande a été exécutée sans erreur


 3xx  La demande est en cours d'exécution
 4xx  Une erreur temporaire
 5xx  La demande n'est pas valide.
Un serveur SMTP écoute sur le port TCP 25. Cependant, pour prévenir
la prolifération des spams (e-mails non sollicités), les ISP (Internet Service
Provider) bloquent le port 25 pour les connexions sortantes de leurs abon-
nées. La soumission des e-mail est faite via le port 587 avec authentication.
L'objectif est d'interdire l'envoie de spams par des utilisateurs ordinaires via
des serveur SMTP non sécurisés en utilisant le port 25.

5.3.2 POP3
POP (Post Oce Protocol) est un protocole qui permet de se connecter
au serveur de messagerie, de s'authentier, télécharger les e-mails et éventuel-
lement les eacer sur le serveur. Son avantage est qu'il permet de travailler
en mode hors-connexion. Cependant, il n'est pas adapté pour les accès multi-
clients.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 42


Administration des Services Réseaux

5.3.3 IMAP
IMAP ( Interactive Message Access Protocol), par opposition à POP3,
est un protocole qui permet de laisser les e-mails sur le serveur dans le but de
pouvoir les consulter par diérents clients de messagerie ou webmail. Il com-
porte des fonctionnalités avancées comme la possibilité de créer des dossiers
ou de manipuler les messages directement sur le serveur. L'avantage d'IMAP
est qu'il est adapté à une connexion via plusieurs clients. Cependant, l'in-
convénient est qu'il nécessite une connexion permanente.

5.4 Mise en oeuvre d'un service de messagerie


Dans ce qui suit, on explique la mise en oeuvre d'un service de messagerie
en utilisant le client Thunderbird et le serveur SMTP postx et le serveur
IMAP dovecot-imapd

5.4.1 Installation et conguration de Thunderbird


Voir le TP pour la procédure complète.

5.4.2 Installation de postx


1. Installer le serveur de messagerie postx avec la commande :

$sudo apt-get install postx

 Exécuter l'outil de conguration

$sudo dpkg-recongure postx puis choisir les paramètres suivants :

 Choisir les options suivantes :

Type de serveur : Site Internet


Nom d'ordinateur
admin  e-mail de l'administrateur
nom de domaine umbb.dz
forcer la synchronisation 
Yes

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 43


Administration des Services Réseaux

Adresses autorisées pour smtp relay  127.0.0.0/8


Taille limite des mail box 0 
protocole  IPv4

5.4.3 Installation de dovecot-imapd


$sudo apt-get install dovecot-imapd

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 44


Administration des Services Réseaux

Cours 6

Routage

Objectifs
 Comprendre la fonctionnalité routage dans un réseaux
 Savoir congurer Linux comme un routeur
 Mettre en oeuvre un routage dynamique avec Linux

6.1 Introduction
Le routage est une fonctionnalité de la couche réseau du modèle OSI.
Son objectif est d'assurer l'acheminement des paquets IP vers leurs desti-
nations. L'équipement réseau qui assure cette fonctionnalité dans un réseau
informatique est appelé routeur.

6.2 Principe du routage


Un routeur doit disposer d'au moins de deux interfaces appartenant cha-
cune à un réseau diérent. Pour l'acheminement de paquets IP entre plu-
sieurs réseaux informatiques, les routeurs doivent prendre des décision pour
orienter ces paquets vers les chemins susceptibles de les faire parvenir vers
leurs destination nale. la Figure 6.1 illustre un exemple de plusieurs réseaux
interconnectés par des routeurs.
On suppose, par exemple, que l'ordinateur 10.1.1.1 souhaite communiquer
avec l'ordinateur 10.1.3.1, alors, il doit en premier envoyer les paquets IP avec

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 45


Administration des Services Réseaux

Fig. 6.1  Routeurs dans un réseau

une adresse destination (10.1.3.1) vers le routeur 10.1.1.252. Ce dernier va


l'envoyer vers 10.1.2.253 qui ensuite vers l'acheminer vers 10.1.3.1.

6.2.1 Table de routage


Pour réaliser le processus d'acheminement décrit plus haut, chaque rou-
teur dispose d'une table de routage qui contient une liste d'associations entre
des adresses cibles et des adresses de routeurs qui permettent d'atteindre ces
adresses cibles. L'adresse cible peut être soit à un ordinateur (Ex. 192.168.1.1)
ou à un réseau (Ex. 192.168.1.0/24).

6.2.2 Routage statique


Dans le routage statique, les tables de routage sont conguré manuel-
lement par l'administrateur réseau. Il est simple à implémenter mais son
inconvénient est que les routes peuvent devenir inopérantes si la topologie du
réseau change.

6.2.3 Routage dynamique


Le routage dynamique supporte l'échange dynamique des informations
de routage entre les routeurs (Rajout/suppression de nouvelles routes, dé-
faillance de routes).

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 46


Administration des Services Réseaux

Dans le routage dynamique on retourve la notion de système autonome,


est un ensemble de réseaux informatiques IP intégrés à Internet et dont la
politique de routage interne est cohérente. Un système autonome est géné-
ralement sous le contrôle d'une entité ou organisation unique (Fournisseur
d'accès à Internet, Université, Grande entreprise, . . . etc). Il existe deux
types de routage dynamique :
 Interne ⇒ à l'intérieure d'un système autonome. Exemples : RIP,
OSPF.
 Externe ⇒ Entre systèmes autonomes. Exemple : BGP.

6.3 Le routage sous Linux


La fonctionnalité routage est supportée nativement par le noyau de linux.
Par défaut, il est désactivé. Pour l'activier, il faut exécuter la commande
suivante :

$sysctl net.ipv4.ip_forward=1

L'achage de la table de routage se fait avec la commande route -n

$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 600 0 0 wlp9s0
192.168.1.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp9s0

Destination, contient les diérentes destinations. 0.0.0.0désigne la desti-


nation par défaut, celle qui ne correspond à aucune route.
Gateway, contient l'adresse de la gateway à contacter pour arriver à la
‚ ‚
destination. Si c'est 0.0.0.0 alors cela veut dire que la destination est dans
le même réseau.
Genmask, contient le masque à appliquer à la destination. Si elle s'agit d'un
ordianteur, alors le masque est 255.255.255.255.
Flag, contient des marques. Par exemple U signie que la route est active.
G signie que la route est vers une passerelle.
Metric, contient la priorité de la route.
Iface, contient le nom de l'interface par laquelle doivent sortir les paquets
routés.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 47


Administration des Services Réseaux

6.3.1 Routage statique


La modication statique de la table de routage se fait avec la commande
route.

6.3.1.1 Rajout d'une route pour un sous réseau


$ route add -net <adresse réseau>netmask <masque>gw <adresse de la
passerelle>

6.3.1.2 Rajout d'une route pour un ordinateur


$ route add -host <adresse ordinateur>gw <adresse de la passerelle>

6.3.1.3 Rajout d'une route par défaut


$ route add default gw <adresse de la passerelle>

6.3.2 Routage dynamique


Sous Linux, l'outil bird implémente plusieurs protocoles de routage dy-
namiques.

6.3.2.1 Installation
$sudo apt-get install bird

6.3.2.2 Conguration
La conguration de bird se fait dans le chier /etc/bird/bird.conf. Par
exemple, dans le chier de conguration ci-dessous, on demande à bird :
 d'écouter les message RIP dans le réseau et de mettre à jours la table
de routage du noyau.
 de diuser les modications apportées, manuellement, à la table de rou-
tage du noyau vers les routeurs voisins en utilisant le protocole RIP.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 48


Administration des Services Réseaux

protocol kernel {
scan time 10;
import all;
export all;
}

protocol rip {
export all; import all; honor always; interface *{ mode broadcast; } ;
}
}

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 49


Administration des Services Réseaux

Cours 7

Filtrage et translation d'adresse

Objectifs
 Comprendre l'utilité de la translation d'adresses et du ltrage de
paquets dans un réseau
 Analyser les besoins de communication avec le réseau Internet et
congurer, avec Netlter, les translations d'adresses nécessaires pour
leurs mise en oeuvre.
 Élaborer une politique de ltrage et la mettre en oeuvre avec Netlter

7.1 Introduction
Dans ce cours, on introduit le ltrage de paquets et la translation d'adresse.
Fonctionnellement, Ces deux techniques sont indépendantes l'une de l'autre.
Cependant, on les aborde dans un même cours parce-qu'elles sont implémen-
tées dans le même framework (Netlter) dans le noyau Linux.

7.2 Filtrage de paquets


Le ltrage de paquets consiste à établir un ensemble de règles an d'auto-
riser ou d'interdire que des paquets transitent entre deux réseaux diérents.
L'objectif est d'élaborer des politiques de sécurité qui dénissent qui peut à
accéder à quoi.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 50


Administration des Services Réseaux

Fig. 7.1  Un parefeu entre deux réseaux

L'équipement réseau qui implémente le ltrage de paquets est appelé un


pare-feu (rewall). Tel que le montre la gure 7.1, un pere-feu dispose de deux
interfaces réseaux. Chacune appartient à un réseau diérent. Les paquets qui
sont échangés entre les deux réseaux doivent impérativement passer par le
pare-feu qui décide de les autoriser ou pas.

7.3 Translation d'adresse


La translation d'adresse (NAT : Network Address Translation) est une
technique qui consiste à appliquer des changement sur les adresses des pa-
quets au moment de transiter entre deux réseaux diérents. En général, l'ob-
jectif est de faire communiquer des réseaux informatiques : l'un dispose d'un
adressage publique et l'autre d'un adressage privé. Le NAT est de deux types :

7.4 Translation d'adresse source


Le NAT source permet aux paquets dont l'origine est un réseau avec
des adresses privées de sortir vers Internet. Sans translation de leurs adresses
sources, les paquets peuvent atteindre leurs destination, mais aucune réponse
ne peut parvenir à l'ordinateur qui les a émis parce que son adresse est
privée et n'est, donc, pas routable, dans un réseau publique. Par exemple,
dans le réseau illustré par la Figure 7.2, pour permettre à l'ordinateur dont
l'adresse IP (privée) est 10.1.1.3 de communiquer avec le serveur 9.10.11.12, le

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 51


Administration des Services Réseaux

Fig. 7.2  Exemple de translation d'adresse

routeur doit transformer l'adresse source des paquets (10.1.1.3) par sa propre
adresse publique (13.14.15.16) avant d'envoyer les paquets vers le serveur.
Les éventuelles réponses à ses paquets seront envoyés vers le routeur qui doit
faire l'opération inverse : remplacer l'adresse de destination (13.4.15.16) par
l'adresse 10.1.1.3 et les envoyer à l'ordinateur associé.

7.5 Translation d'adresse destination


Le NAT destination permet aux ordinateurs d'un réseau publique de com-
muniquer avec des ordinateurs dans un réseau privé. Par exemple, dans le
réseau illustré par la Figure 7.2, pour permettre à l'ordinateur dont l'adresse
IP (puplique) est 9.10.11.12 de communiquer avec le serveur 10.1.1.2, les pa-
quets doivent être envoyés vers l'adresse publique du routeur (13.14.15.16)
qui doit transformer l'adresse destination des paquets par l'adresse privée
(10.1.1.3) avant d'envoyer. Les éventuelles réponses à ses paquets seront en-
voyées vers le routeur qui doit faire l'opération inverse : replacer l'adresse
source (10.1.1.3) par l'adresse 13.14.154.16.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 52


Administration des Services Réseaux

7.6 Netlter de Linux


Netlter est un ensemble de modules implémentant plusieurs fonctionna-
lités réseau au sein du noyau Linux :

 Filtrage
 Translation d'adresse et de port
 Marquage de paquets.

Netlter permet d'exécuter des actions sur les paquets lors des appels
des routines de leurs réceptions ou émissions. Les actions sur les paquets
sont dénit dans plusieurs tables. Les actions peuvent êtres exécutées à
diérentes étapes lors du passags des paquets à travers le noyau Linux. A
chaque étape est associée une chaîne Netlter.

7.6.1 Tables Netlter


7.6.1.1 Table lter
Cette table permet de ltrer les paquets. Typiquement ce sera pour les
accepter ou non.

7.6.1.2 Table nat


Avec cette table, on peut réaliser des translations d'adresse (ou de ports).
Ceci sera notamment utile pour permettre à des ordinateurs avec des adresses
privées d'avoir des connections entrantes/sortantes de/vers Internet.

7.6.1.3 Table mangle


Elle sert pour modier les en-têtes des paquets. On la rencontrera parfois
pour marquer des paquets an que d'autres applications puissent les recon-
naître.

7.6.2 Chaînes Netlter


7.6.2.1 PREROUTING
Par cette chaîne passeront les paquets entrant dans la machine avant
routage.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 53


Administration des Services Réseaux

Fig. 7.3  Chaines et tables Netlter

7.6.2.2 INPUT
Cette chaîne traitera les paquets entrants avant qu'ils ne soient passées
aux couches supérieures (les applications).

7.6.2.3 FORWARD
Ce sont les paquets uniquement transmis par la machine sans que les
applications n'en aient connaissance. Par exemple, lorsque un ordinateur est
utilisé comme un routeur.

7.6.2.4 OUTPUT
Cette chaîne sera appelée pour des paquets envoyés par des programmes
présents sur la machine.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 54


Administration des Services Réseaux

7.6.2.5 POSTROUTIN
Les paquets prêts à être envoyés (soit transmis, soit générés) seront pris
en charge par cette chaîne.

7.7 La commande iptables


La commande iptables permet de congurer netlter à partir de l'espace
utilisateur. Elle peut être invoquée avec la syntaxe suivante :

$ iptables [-t table] <action-table><nom de la chaîne><cible de la


règle><action-scible>

L'option -t sélection le nom de la table à laquelle n souhaite rajouter


une règle. Une action sur la table peut être sélectionnée ensuite. On dénit
la cible (type de paquets visés) puis l'action qu'on souhaite exécuter sur la
cible.

7.7.1 Options sur une table


 -L : Ache toutes les règles de la chaîne indiquée.
 -F : Supprime toutes les règles de la chaîne. Si aucune chaîne n'est
spéciée, toutes celles de la table sont vidées.
 -P : Modie la politique par défaut de la chaîne. Il faut indiquer en plus
comme paramètre la cible à utiliser.
 -A : Ajoute une règle à la n de la chaîne spéciée.
 -I :Insère la règle avant celle indiquée. Cette place est précisée par un
numéro qui fait suite au nom de la chaîne. La première porte le numéro
1. Si aucun numéro n'est indiqué, la règle est insérée au début.
 -D :Supprime une règle de la chaîne. Soit un numéro peut être précisé,
soit la dénition de la chaîne à supprimer (ses tests de concordance et
sa cible).

7.7.2 Cibles
Voir Table 7.1

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 55


Tab. 7.1  Cibles iptables

-s Adresse source. Cette option est suivie


par l'adresse de la machine qui doit avoir
émis ce paquet. Si l'adresse est précédée
d'un ! (point d'exclamation), le test est
alors inversé sous-réseau
-d Adresse de destination. On trouve ensuite
l'adresse de destination du paquet, avec
les mêmes possibilités que pour source.
-i Chaînes INPUT, Interface d'entrée. Suivie par le nom de
FORWARD ou l'interface par laquelle doivent arriver les
PREROUTING paquets.
-o Chaînes FORWARD, interface de sortie. Suivi du nom de l'in-
OUTPUT ou terface

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com


POSTROUTING
Administration des Services Réseaux

-p Protocole. Permet de vérier le protocole


du paquet. ( tcp, udp, icmp ou all)
source-port protocol tcp Port source. Cette option permet de véri-
protocol udp er le port source (celui utilisé par l'émet-
teur). Intervalle de port : ex. 25:110 pour
tous les ports compris entre 25 et 110.
destination-port protocol tcp ort destination. Compare le port utilisé
protocol udp pour se connecter sur la machine avec la
valeur ou plage de valeur indiquée.
-m NEW correspond à un paquet initiant une
nouvelle connexion. ESTABLISHED est
un paquet participant à une conversation
déjà établie. RELATED est pour un pa-

Page 56
quet qui ouvre une nouvelle connexion,
mais ceci en rapport avec une précédente
déjà établie. INVALID indique un paquet
qui n'est rattaché à aucune connexion.
Administration des Services Réseaux

7.7.3 Actions sur une cible


 ACCEPT : Les paquets envoyés vers cette cible seront tout simple-
ment acceptés et pourront poursuivre leur cheminement au travers des
couches réseaux.
 DROP: Cette cible permet de jeter des paquets qui seront donc ignorés.
 REJECT : Permet d'envoyer une réponse à l'émetteur pour lui signaler
que son paquet a été refusé.
 LOG : Demande au noyau d'enregistrer des informations sur le paquet
courant. Cela se fera généralement dans le chier /var/log/messages
(selon la conguration du programme syslogd).
 MASQUERADE : Cible valable uniquement dans la chaîne POSTROUTING
de la table nat. Elle change l'adresse IP de l'émetteur par celle courante
de la machine pour l'interface spéciée. Cela permet de masquer des
machines et de faire par exemple du partage de connexion.
 SNAT Également valable pour la chaîne POSTROUTING de la table
nat seulement. Elle modie aussi la valeur de l'adresse IP de l'émetteur
en la remplaçant par la valeur xe spéciée.
 DNAT Valable uniquement pour les chaînes PREROUTING et OUTPUT
de la table nat. Elle modie la valeur de l'adresse IP du destinataire en
la remplaçant par la valeur xe spéciée.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 57


Administration des Services Réseaux

Seconde partie

Travaux Pratiques

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 58


Administration des Services Réseaux

Travaux pratiques 1

Adressage IP

1.1 Conguration IP
Dans cet exercice, il s'agit de comprendre les diérentes façon de con-
gurer l'adresse IP d'une interface réseau.

1. Acher toutes les interfaces présentes sur votre ordinateur en utilisant


la commande ifcong puis identier le nom de votre carte Ethernet.
2. Avec la commande ifcong, congurer la carte Ethernet avec l'adresse
192.168.0.1.
3. Quel est l'inconvénient de l'utilisation de ifcong pour congurer une
interface?
4. Pour rendre la conguration IP persistante, utiliser le chier /etc/net-
work/interfaces.
5. Désactiver l'interface Ethernet avec la commande ifdown. Vérier qu'au-
cune adresse IP n'est associée à l'interface Ethernet.
6. Activer l'interface Ethernet avec la commande ifup puis acher son
adresse IP. Expliquer comment ifup retrouve les informations de con-
guration.

7. Modier le chier de conguration /etc/network/interfaces pour asso-


cier une adresse dynamique à la carte Ethernet.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 59


Administration des Services Réseaux

1.2 L'outils NetworkManager


1. Lire le manuel de NetworkManager.conf puis trouver comment désac-
tiver la gestion des interfaces réseaux listées dans le chier /etc/net-
work/interfaces
2. Recongurer votre carte Wi avec une adresse dynamique utilisant la
commande nmtui.

Dans la suite des TP, il est recommandé de toujours travailler avec


NetworkManager pour la conguration des interfaces réseaux.

1.3 Le protocole DHCP


‚ ‚
1. Connecter votre ordinateur au réseau wi TP-ASR en utilisant l'outil
nctui présenté dans le cours.
2. Exécuter wireshark, congurer une capture sur l'interface wlan0, saisir
le ltre pour capturer le trac DHCP puis lancer la capture de paquet.
3. Activer la carte wi avec nmtui puis vérier la connectivité avec d'autre
ordinateur dans le réseau.
4. Arrêter la capture avec wireshark puis retrouver dans la trace obtenue
les messages DISCOVER, OFFER, REQUEST et ACK.
5. Quels sont les informations de conguration qui ont été envoyées par le
serveur DHCP au client DHCP et pour quelle durée de bail? Conrmer
que les informations retrouvées dans la trace correspondent à celle en-
registrée dans /var/lib/dhcp/dhclient.leases.

1.4 Conguration d'un serveur DHCP

Cet exercice se fait par groupes de 2 étudiants chacun.

1. Connecter deux ordinateurs avec un câble Ethernet puis congurer le


réseau illustré en 1.1. Vérier la connectivité.
2. Installer un serveur DHCP sur l'ordinateur ayant l'adresse 192.168.1.1
avec la sudo apt-get install isc-dhcp-server.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 60


Administration des Services Réseaux

Fig. 1.1  Client et serveur DHCP

3. Consulter le chier de conguration  /etc/dhcp/dhcpd.conf  puis


modier le pour que le serveur DHCP réponde au clients DHCP par :

 des adresses dynamique dans l'intervalle 192.168.1.10  192.168.1.20


 192.168.0.254 comme adresse de la passerelle.
 192.168.0.253 comme adresse du serveur DNS
  umbb.dz  comme nom de domaine

4. Congurer l'interface Ethernet de l'autre ordinateur avec un adressage


dynamique. Vérier le fonctionnement du serveur DHCP puis retrouver
les informations de conguration dans une trace avec wireshark (dans
le client) et dans les chier logs (dans le serveur) :

 /var/log/syslog
 /var/lib/dhcp/dhcpd.leases

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 61


Administration des Services Réseaux

Travaux pratiques 2

DNS

2.1 Résolution de nom coté client


1. A l'aide de la commande netstat, acher les nom du processus qui
écoute sur le port 53.
2. Congurer votre carte Wi pour obtenir une adresse dynamique avec
l'outil nmtui.
3. Exécuter Wireshark, sélectionner la carte Wi puis activer la capture
de trace. Quelles est l'adresse du serveur DNS obtenue?
4. Ou est enregistrée cette adresse du serveur DNS?
5. Trouver l'adresse du serveur DNS dans la sortie de la commande :

$ nmcli device show <nom de la carte wi>

6. Expliquer à l'aide d'un schéma les étapes de résolution de nom dans


votre ordinateur.

2.2 Installation du serveur DNS bind


Voir la procédure dans le cours.

2.3 Commande dig


1. Lister tous les serveurs racine dans le chier /etc/bind/db.root

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 62


Administration des Services Réseaux

2. A l'aide de la commande dig, envoyer une requête pour résoudre le nom


www.umbb.dz à l'un des serveurs racine.
3. Analyser la réponse puis expliquer le résultat.
4. Simuler avec la commande dig, les diérentes étapes d'une résolution
itérative du nom d'ordinateur www.umbb.dz en commençant par l'un
des serveur racine.

2.4 Serveur DNS primaire / secondaire


1. Expliquer le chier zone suivant :

$ORIGIN umbb.dz. ; debut du domaine umbb.dz dans l'espace de nom


$TTL 1h ; TTL par defaut
umbb.dz. IN SOA ns.umbb.dz. username.umbb.dz. ( 2007120710 1d 2h
4w 1h )
umbb.dz. IN NS ns ; serveur DNS pour umbb.dz
umbb.dz. IN NS ns.umbb.dz. ; serveur DNS pour umbb.dz
umbb.dz. IN MX 10 mail.umbb.dz. ; serveur de messagerie pour umbb.dz
umbb.dz. IN A 192.0.2.1 ; IPv4 address for umbb.dz
ns IN A 192.0.2.2 ; IPv4 address for ns.umbb.dz
www IN CNAME umbb.dz. ; www.umbb.dz is an alias for umbb.dz
wwwtest IN CNAME www ; alias de www.umbb.dz
mail IN A 192.0.2.3 ; Adresse de mail.umbb.dz

2. Créer deux congurations /etc/bind/named.conf.local) pour le nom de


domaine umbb.dz. L'une est pour un serveur primaire et l'autre pour
un serveur secondaire. Ci-dessous un exemple de conguration.

// Sur le DNS primaire


zone "umbb.dz" {
type master;
le "/etc/bind/db.umbb.dz";
//addresses IP du secondaire autorisé à faire des transfert de zone
{

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 63


Administration des Services Réseaux

@ IP du serveur DN secondaire
};

// Sur le secondaire
zone "/etc/bind/umbb.dz" {
type slave;
le "db.umbb.dz";
// Adresse IP du DNS primaire
masters { @ IP; };
};

2.5 Conguration de la délégation


1. Sur le serveur primaire de la zone umbb.dz, pour déclarer un sous-
domaine telecom.umbb.dz géré par un autre serveur nns.telecom.umbb.dz,
il sut d'ajouter dans le chier zone du serveur DNS de umbb.dz :

telecom.umbb.dz IN NS ns.telecom.umbb.dz
ns.telecom.umbb.dz IN A @IP du serveur de délégation

2. Créer un nom d'ordinateur test dans le chier zone de ns.telecom.umbb.de


(Ex. www.telecom.umbb.dz) et tester une résolution de nom ce ce der-
nier à partir de ns.umbb.dz.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 64


Administration des Services Réseaux

Travaux pratiques 3

Messagerie électronique

3.1 Installation et conguration d'un serveur


de messagerie sous Linux
1. Installer le serveur de messagerie postx avec la commande : sudo apt-
get install postx.
2. Exécuter l'outil de conguration : sudo dpkg-recongure postx puis
choisir les paramètres suivants :

Type de serveur : Site Internet


Nom d'ordinateur
admin  e-mail de l'administrateur
nom de domaine umbb.dz
forcer la synchronisation 
Yes
Adresses autorisés pour smtp relay  127.0.0.0/8
Taille limite des mail box 0
protocole  IPv4

3. Consulter le contenu du chier de conguration /etc/postx/main.cf.


4. En modiant le paramètre smtpd_banner dans /etc/postx/main.cf,
acher le message d'accueil suivant lors d'une connexion SMTP :  Désolé !
Je ne peux pas divulguer le type de ce système d'exploitation et de ce
serveur de messagerie pour des raisons de sécurité 

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 65


Administration des Services Réseaux

5. Créer deux utilisateurs système user1 et user2 ayant les mot de passe
user1pw et user2pw respectivement. Associer les répertoires /home/u-
ser1 et /home/user2 à user 1 et user2
6. Trouver le nom du processus qui écoute sur le port 25
7. Faire un test d'une se ssion SMTP comme suit :

$ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is ']'.
220 Postx (Ubuntu)
MAIL FROM : user2
501 5.5.4 Syntax: MAIL FROM:<address>
MAIL FROM:user1
250 2.1.0 Ok
RCPT TO:user1
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
test.
.

8. Consulter le contenu du chier de conguration /etc/postx/main.cf.

3.2 Conguration d'un serveur IMAP00


1. Installer le serveur IMAP dovecote : sudo apt-get install dovecot-imapd
2. Démarrer le service dovecote puis trouver sur quel numéro de port il
écoute.
3. S'inspirer de la session IMAP ci-dessous pour lire le premier message
dans la INBOX

$ telnet localhost 143


Trying 127.0.0.1...
Connected to localhost.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 66


Administration des Services Réseaux

Escape character is ']'.


OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR ... Dovecot ready.
? LOGIN user1 <mot de passe>
? OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR ...
? EXAMINE INBOX
FLAGS (
Answered
Flagged
Deleted
Seen
Draft NonJunk)
OK [PERMANENTFLAGS ()] Read-only mailbox.
12 EXISTS
0 RECENT
OK [UIDVALIDITY 1488658718] UIDs valid
OK [UIDNEXT 13] Predicted next UID
OK [HIGHESTMODSEQ 88] Highest
? OK [READ-ONLY] Examine completed (0.000 + 0.000 secs).
? FETCH 1 BODY[]
1 FETCH (BODY[] 419
Return-Path: <user1@umbb.dz>
X-Original-To: user1
Delivered-To: user2@umbb.dz
Received: from user1 (localhost [127.0.0.1])
by user1-Inspiron-N5110 (Postx) with SMTP id BE1F6360DB8
for <user1>; Thu, 2 Mar 2017 23:16:02 +0100 (CET)
Message-Id: <20170302221611.BE1F6360DB8@user1-Inspiron-N5110>
Date: Thu, 2 Mar 2017 23:16:02 +0100 (CET)
From: user1@user1-Inspiron-N5110
Bonjour tout le monde
)
? OK Fetch completed (0.001 + 0.000 secs).

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 67


Administration des Services Réseaux

3.3 Installation et conguration d'un client de


messagerie
1. Installer le client de messagerie thunderbird : sudo apt-get install thun-
derbird.
2. Congurer les comptes de messagerie de user1 et user2 pour accéder à
leurs mails sur les serveurs SMTP et IMAP
3. créé dans les TPs 3.1 et 3.2
4. Envoyer un mail de user1 vers user2 et à l'aide de wireshark, récupérer
les traces de la soumission du mail sur le port 587 et la récupération
du mail via le port 143 (IMAP)
5. Refaire l'opération en rajoutant des destinataires cc et cci dans l'e-mail
envoyé. En analysant la trace wireshark, expliquer comment sont codés
les destinataires cc et cci dans les message SMTP.

3.4 Annexe : Conguration de Thunderbird


1. Démarrez ThunderBird.
2. Dans le menu Edit, cliquez sur Paramètres des comptes.
3. Sous la liste des comptes existants, cliquez sur Gestion des comptes et
sélectionnez Ajouter un compte de messagerie...
4. Dans le boîte de dialogue Création d'un compte email

 Pour le champ Vos nom et prénom, inscrivez l'information (peut


être le nom de votre compagnie ou votre nom de domaine) qui
précédera l'adresse courriel. Dans le champ Adresse électronique,
inscrivez l'adresse de messagerie pour laquelle ce compte est con-
guré ( ex: user1@umbb.dz).
 Pour le champ Mot de passe : inscrivez le mot de passe que vous
avez associé à cette adresse e-mail lors de sa création.
 Cliquez sur Continuer.
 Une nouvelle section de la boîte de dialogue est achée : Recherche
de la conguration: essai de noms de serveur les plus courants.
D'une façon générale, cette procédure de conguration automati-
sée ne trouve pas les paramètres adéquats. Laissez la procédure

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 68


Administration des Services Réseaux

Fig. 3.1  Fenêtre de conguration de Thunderbird

automatique se terminer et cliquez sur le bouton Modier qui est


aché en remplacement du bouton Arrêter.
 Pour le champ Identiant, inscrivez, l'adresse de messagerie pour
laquelle ce compte est conguré ( ex: user1@umbb.dz).
 Pour les champ Serveur entrant, spécier l'adresse du serveur
SMTP ( port 587)
 Pour le champs IMAP, spécier l'adresse du serveur IMAP (port
143) Désactiver SSL et choisir le mode d'authentication normal.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 69


Administration des Services Réseaux

Travaux pratiques 4

Routage

4.1 Routage statique


Écrire les commandes pour congurer la table de routage Linux dans les
routeurs du réseau illustré dans la Figure 4.1.

4.2 Activation du routage


1. Comme illustré en Figure 4.2, congurer l'ordinateur 2 pour qu'il soit
un routeur entre ordinateur 1 et ordinateur 3.
2. Exécuter la commande ping de l'ordinateur 1 vers l'ordinateur 3. Analyser
la valeur du TTL.

4.3 Routage dynamique


1. Reprendre la conguration réseau du TP 4.1.
2. Dans ordinateur 1 et ordinateur 2 :
 Installer bird : sudo apt-get install bird
 Appliquer la conguration suivante dans le chier /etc/bird/bird.conf

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 70


Administration des Services Réseaux

Fig. 4.1  Exemple de routage dans un réseau

Fig. 4.2  Exemple de routage dans un réseau

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 71


Administration des Services Réseaux

protocol kernel {
scan time 10;
import all;
export all;
}
protocol rip {
export all;
import all;
honor always;
‚‚
interface * { mode broadcast; } ; }
}

3. Expliquer la signication des directives kernel, device et rip.


4. Sur quel port écoute le processus bird?
5. Dans ordinateur 2, rajouter la route suivante
6. sudo route add -host 1.1.1.1 gw 10.1.2.253
7. Vérier que la route à été rajoutée automatiquement dans ordinateur
1.
8. Prendre un trace avec wireshark puis analyser le contenu des message
RIP.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 72


Administration des Services Réseaux

Travaux pratiques 5

Filtrage et translation d'adresse

5.1 Tables et chaine netlter


Donner l'ordre de parcours des chaînes netlter ainsi que les tables par-
courues dans chacun des tracs indiqués ci-dessous.

5.2 Commande iptables (1)


Expliquer le rôle de chacune des commandes iptables suivantes :
 iptables -A OUTPUT -p icmp -j REJECT
 iptables -t lter -A INPUT source 10.1.1.1 jump DROP
 iptables -t lter -F

Fig. 5.1 

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 73


Administration des Services Réseaux

Fig. 5.2 

 iptables -t lter -A INPUT protocol tcp destination-port 80 jump


ACCEPT
 iptables -t lter -A OUTPUT protocol tcp 25 jump ACCEPT
 iptables -A FORWARD -i eth1 -j ACCEPT
 iptables -t nat -A POSTROUTING -o eth0 -j SNAT  to 1.2.3.4
 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
 iptables -t nat -A PREROUTING -p tcp dport 25 -i eth0 -j DNAT
to 192.168.1.2

5.3 Commande iptables (2)


Écrire les commande iptables pour implémenter les règles suivantes dans
le réseau illustré dans la Figure 5.2. :

 Tous les ordinateurs du réseau 1 accède au ordinateurs du réseau 2


 Tous les ordinateurs du réseau 2 n'accède pas au ordinateurs du réseau
1
 L'ordinateur 2 accède au serveur Web qui s'exécute sur l'ordinateur 1

Remarque : Les interfaces du routeur dans les réseaux 1 et 2 sont eth0 et


eth1 respectivement.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 74


Administration des Services Réseaux

Fig. 5.3 

5.4 Commande iptables (3)


Écrire les commandes iptables pour implémenter les règles suivantes dans
le réseau illustré dans la Figure 5.3. :

 Les ordinateurs dans le réseau Internet n'excèdent pas aux réseaux 1


et 2.
 Les ordinateurs de réseau 2 accèdent à internet (Web seulement).
 Les ordinateurs de réseau 1 n'accèdent pas à internet.
 Le serveur de messagerie accèdent au réseau Internet (SMTP seule-
ment)
 Les ordinateurs du réseau 2 n'accèdent pas aux ordinateurs du réseau
1
 Les ordinateurs du réseau 2 accèdent au service IMAP, POP et SMTP
du serveur de messagerie.
 Les ordinateurs dans le réseau Internet accèdent au serveur Web et au
service SMTP du serveur de messagerie. via l'adresse publique 9.9.9.9

Remarque : Les interfaces du routeur dans les réseaux 1 et 2 et internet


sont eth0, eth1 et eth2 respectivement. L'adresse IP de eth2 est 9.9.9.9.

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 75


Administration des Services Réseaux

Références

 Manuels Linux
 https://doc.ubuntu-fr.org/
 TCP/IP Network Administration, Craig Hunt; ISBN 1-56592-322-7,
O'Reilly, 3rd Edition.
 RH253 - Red Hat Enterprise Linux Network Services and Security
Administration

Dr. Y. Benmoussa. yahia.benmoussa@gmail.com Page 76

Vous aimerez peut-être aussi