Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2530 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Petit réseau 5 postes

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Petit réseau 5 postes

n°596323
Nelyot Tch​agui
Posté le 26-11-2004 à 14:07:59  profilanswer
 

Bonjour,  
 
J'ai 5 ordis dont 4 sous WIN XP et 2000 et 1 qui va être sous débian.
 
Les 4 windows sont déjà en réseau grâce à un HUB et l'un d'entre eux fait office de serveurs de fichiers central. Chacun des 4 a les droits d'écriture sur le serveurs de fichiers. Jusqu'à présent ces 4 ordi   n'étaient pas connectés à la toile.
 
Je cherche à utiliser debian comme passerelle pour internet pour les 4 autres windows (j'espère y gagner par rapport à windows en terme de sécurité).
 
Je projetais de mettre 2 cartes réseaux sur le debian, (une reliée à la toile, et l'autre au HUB des 4 windows).
 
Le debian sera connecté 24h/24 et fera aussi office de serveur ftp. Il accédera aussi au serveur de fichiers centrale grâce à Samba avec les droits d'écriture.
 
Je précise que je ne suis pas un boss de linux, ni un informaticien. Je fais ça pour une association étudiante.
 
1) Que pensez vous du niveau de sécurité d'un tel montage?
2) Dans ces conditions le partage de connexion est-il possible?
3) Auriez-vous un /etc/network/interfaces particulier à me conseillez  
4) idem pour les règles iptables?
 
 
Merci d'avance (je sais que je demande beaucoup)
 
 

mood
Publicité
Posté le 26-11-2004 à 14:07:59  profilanswer
 

n°596381
vlemquov
Posté le 26-11-2004 à 14:58:55  profilanswer
 

Moi je dis, achete un WRT54G, sur ta debian (ou utilise mdk si tu t'y connais pas trop) tu mets un serveur samba, et hop
Ca te coutera beaucoup moins cher en terme de temps passé à tout configurer
:)

n°596419
Nelyot Tch​agui
Posté le 26-11-2004 à 15:52:26  profilanswer
 

Mais je n'ai aucune carte wifi, en plus j'ai déjà 2 hubs donc je crois que je n'ai pas besoin de ça.
 
Je repose mes quesions sinon:
1) Que pensez vous du niveau de sécurité d'un tel montage?
2) Dans ces conditions le partage de connexion est-il possible?
3) Auriez-vous un /etc/network/interfaces particulier à me conseillez  
4) idem pour les règles iptables?

n°596535
Nelyot Tch​agui
Posté le 26-11-2004 à 18:10:12  profilanswer
 

up

n°596591
Faxone
Posté le 26-11-2004 à 20:11:17  profilanswer
 

1) la sécurité, c toujours délicat
2) le partage de connexion est tout a fait possible
3) non
4) non
Question subsidiaire : Pourquoi ta passerelle debian doit elle accéder au serveur de fichiers interne ?

n°596703
MaxMaveric​k
bli bli
Posté le 27-11-2004 à 00:21:27  profilanswer
 

Nelyot Tchagui a écrit :

Mais je n'ai aucune carte wifi, en plus j'ai déjà 2 hubs donc je crois que je n'ai pas besoin de ça.
 
Je repose mes quesions sinon:
1) Que pensez vous du niveau de sécurité d'un tel montage?
2) Dans ces conditions le partage de connexion est-il possible?
3) Auriez-vous un /etc/network/interfaces particulier à me conseillez  
4) idem pour les règles iptables?


 
Si justement tu as besoin soit d'un WRT54G (ou d'un DG834[G] qui tourne aussi sous linux). Pourquoi ?
Parce que 1 tu n'y connais rien en securité reseau (c'est pas un reproche)
Parce que 2 tu n'y connais presque rien en réseau hard (idem)
Parce que 3 tu n'a pas forcement le temps de t'occuper de tout cela.
Parce que 4 le linksys il a un super rapport qualité/prix
Et en plus il t'evite le modem adsl en plus.
 
Le WRT54G (comme la serie DG834*) Concentre un switch 4 port, une connection wifi et un firewall (linux pour la serie netgear,
pour le linksys je sais qu'il est possible d'y mettre un linux).
 
La partie switch va te permettre d'optimiser ton reseau, si tu veut une  
comparaison un switch 4 port c'est 4 personnes qui comuniquent uniquement a leurs destinataires, un hub 4 port c'est 4 personnes qui communiquent en envoyant leurs messages a tous les 3 autres.
Autant que possible branche les machines serveurs directement sur le
switch et utilise les hub pour limiter le nombre de machines / hub.
 
La partie firewall va te permettre de limiter les risques quand a ton  
reseau interne qui presente de gros risques de securité (droits d'ecriture sur une machine windows) tout en n'ayant pas 300 pages de
documentation sur la securité des reseaux a lire.
 
1/ niveau de securité faible (plusieurs services / machines, pas d'isolation reseau etc mais bon c'est pas un reseau d'entreprise).
2/ tout est tjrs possible il suffit de vouloir. Mais je n'appuierai jamais assez sur la necessite d'avoir un equipement reseau qui externalise la securité.
3/  
Exemple de configuration en utilisant un reseau 192.168.0.0/24 (config. par defaut des equipements reseaux personnels.)
 
-> IP des machines comprise entre 192.168.0.2 et 192.168.0.254
->> masque reseau 255.255.255.0
->> adresse passerelle (gateway) 192.168.0.1

n°596704
Nelyot Tch​agui
Posté le 27-11-2004 à 00:21:52  profilanswer
 

faxone a écrit :

1)
Question subsidiaire : Pourquoi ta passerelle debian doit elle accéder au serveur de fichiers interne ?


Ben c'est surtout pour que les gens puissent travailler aussi avec ce poste et pas se contenter de surfer sur le web.

n°596709
Nelyot Tch​agui
Posté le 27-11-2004 à 00:31:07  profilanswer
 

maxmaverick a écrit :

Si justement tu as besoin soit d'un WRT54G (ou d'un DG834[G] qui tourne aussi sous linux). Pourquoi ?
Parce que 1 tu n'y connais rien en securité reseau (c'est pas un reproche)
Parce que 2 tu n'y connais presque rien en réseau hard (idem)
Parce que 3 tu n'a pas forcement le temps de t'occuper de tout cela.
Parce que 4 le linksys il a un super rapport qualité/prix
Et en plus il t'evite le modem adsl en plus.
 
Le WRT54G (comme la serie DG834*) Concentre un switch 4 port, une connection wifi et un firewall (linux pour la serie netgear,
pour le linksys je sais qu'il est possible d'y mettre un linux).
 
La partie switch va te permettre d'optimiser ton reseau, si tu veut une  
comparaison un switch 4 port c'est 4 personnes qui comuniquent uniquement a leurs destinataires, un hub 4 port c'est 4 personnes qui communiquent en envoyant leurs messages a tous les 3 autres.
Autant que possible branche les machines serveurs directement sur le
switch et utilise les hub pour limiter le nombre de machines / hub.
 
La partie firewall va te permettre de limiter les risques quand a ton  
reseau interne qui presente de gros risques de securité (droits d'ecriture sur une machine windows) tout en n'ayant pas 300 pages de
documentation sur la securité des reseaux a lire.
 
1/ niveau de securité faible (plusieurs services / machines, pas d'isolation reseau etc mais bon c'est pas un reseau d'entreprise).
2/ tout est tjrs possible il suffit de vouloir. Mais je n'appuierai jamais assez sur la necessite d'avoir un equipement reseau qui externalise la securité.
3/  
Exemple de configuration en utilisant un reseau 192.168.0.0/24 (config. par defaut des equipements reseaux personnels.)
 
-> IP des machines comprise entre 192.168.0.2 et 192.168.0.254
->> masque reseau 255.255.255.0
->> adresse passerelle (gateway) 192.168.0.1


 
Merci beaucoup pour tous ces conseils,
je vais me renseigner plus sur ce genre de matos. En fait, j'espèrais ne pas avoir à investir dans de nouveaux matos (notamment des cartes wifi).
 
Niveau sécurité, je pense que le réseau est déjà un peu sécurisé, du fait que c'est un sous réseau. L'accès internet nous est fourni par mon école.
 
Merci pour tout!

n°596896
ceyquem
E falso sequitur quodlibet
Posté le 27-11-2004 à 14:57:59  profilanswer
 

sinon si tu veux un tuto pour faire une passerelle ADSL sous debian, y'a un petit tuto ici : http://ceyquem.free.fr/www/articles/


Message édité par ceyquem le 27-11-2004 à 14:58:04
n°596926
goldyfruit
Je me lève et je confirme !
Posté le 27-11-2004 à 16:03:23  profilanswer
 

ceyquem a écrit :

sinon si tu veux un tuto pour faire une passerelle ADSL sous debian, y'a un petit tuto ici : http://ceyquem.free.fr/www/articles/


 
Ou la vache il est bien ce site !!  :jap:

mood
Publicité
Posté le 27-11-2004 à 16:03:23  profilanswer
 

n°598529
Nelyot Tch​agui
Posté le 30-11-2004 à 23:26:00  profilanswer
 

merci pour le lien.
 
En fait, mon réseau ne devrait pas être très risqué car théoriquement il est totalement inaccessible depuis l'extérieur d'après le service informatique de mon école.
Par contre, je galère pour ma passerelle debian.
 
j'ai 2 cartes réseaux et 1 hub  
en eth0 je suis relié au réseau de mon école qui fournit l'internet en dhcp
en eth1 je suis relié au hub, lui même relié à 4 autres ordis tous sous windows.
 
aucun problème pour accéder à internet depuis la passerelle. Par contre le partage de connexion et de fichiers ne fonctionne pas.
 
J'ai installé une sarge avec le noyau 2.4 sans recompilé (j'ai supposé que les fonctions de partage de connexion étaient présentes par défaut avec ce noyeau).
 
Après, j'ai crée un /etc/network/if-pre-up.d/iptables-start avec à l'intérieur  

Code :
  1. # REMISE à ZERO des règles de filtrage
  2. iptables -F
  3. iptables -t nat -F
  4. # DEBUT des "politiques par défaut"
  5. # Je veux que les connexions entrantes soient bloquées par défaut
  6. iptables -P INPUT DROP
  7. # Je veux que les connexions destinées à être forwardées
  8. # soient acceptées par défaut
  9. iptables -P FORWARD ACCEPT
  10. # Je veux que les connexions sortantes soient acceptées par défaut
  11. iptables -P OUTPUT ACCEPT
  12. # FIN des "politiques par défaut"
  13. # DEBUT des règles de filtrage
  14. # Pas de filtrage sur l'interface de "loopback"
  15. iptables -A INPUT -i lo -j ACCEPT
  16. # J'accepte le protocole ICMP (i.e. le "ping" )
  17. iptables -A INPUT -p icmp -j ACCEPT
  18. # J'accepte le protocole IGMP (pour le multicast)
  19. iptables -A INPUT -p igmp -j ACCEPT
  20. # J'accepte les packets entrants relatifs à des connexions déjà établies
  21. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  22. # Décommentez les deux lignes suivantes pour que le serveur FTP éventuel
  23. # soit joignable de l'extérieur
  24. #iptables -A INPUT -p tcp --dport 20 -j ACCEPT
  25. #iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  26. # Décommentez la ligne suivante pour que le serveur SSH éventuel
  27. # soit joignable de l'extérieur
  28. #iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  29. # Décommentez la ligne suivante pour que le serveur de mail éventuel
  30. # soit joignable de l'extérieur
  31. #iptables -A INPUT -p tcp --dport 25 -j ACCEPT
  32. # Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
  33. # soit joignable de l'extérieur
  34. #iptables -A INPUT -p tcp --dport 53 -j ACCEPT
  35. #iptables -A INPUT -p udp --dport 53 -j ACCEPT
  36. # Décommentez la ligne suivante pour que le serveur Web éventuel
  37. # soit joignable de l'extérieur
  38. #iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  39. # Décommentez la ligne suivante pour que le serveur CUPS éventuel
  40. # soit joignable de l'extérieur
  41. #iptables -A INPUT -p tcp --dport 631 -j ACCEPT
  42. # Décommentez les deux lignes suivantes pour que le serveur Samba éventuel
  43. # soit joignable de l'extérieur
  44. #iptables -A INPUT -p tcp --dport 139 -j ACCEPT
  45. #iptables -A INPUT -p udp --dport 139 -j ACCEPT
  46. # Décommentez la ligne suivante pour que des clients puissent se connecter
  47. # à l'ordinateur par XDMCP)
  48. #iptables -A INPUT -p udp --dport 177 -j ACCEPT
  49. # Décommentez la ligne suivante pour que l'odinateur puisse se connecter
  50. # par XDMCP à une machine distante)
  51. #iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
  52. # Décommentez la ligne suivante pour que le serveur CVS éventuel
  53. # soit joignable de l'extérieur via le mécanisme de "pserver"
  54. # (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,
  55. # seule la ligne concernant le serveur SSH doit être décommentée)
  56. #iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
  57. # Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN
  58. # (ce sont des flux UDP entrants sur le port 1234)
  59. #iptables -A INPUT -p udp --dport 1234 -j ACCEPT
  60. # Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP
  61. # (ce sont des annonces de session multicast)
  62. #iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
  63. # Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
  64. #iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
  65. #iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
  66. #iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
  67. # La règle par défaut pour la chaine INPUT devient "REJECT"
  68. # (il n'est pas possible de mettre REJECT comme politique par défaut)
  69. iptables -A INPUT -j REJECT
  70. # FIN des règles de filtrage
  71. # DEBUT des règles pour le partage de connexion (i.e. le NAT)
  72. # Décommentez la ligne suivante pour que le système fasse office de
  73. # "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
  74. # à Internet
  75. #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  76. # Si la connexion que vous partagez est une connexion ADSL, vous
  77. # serez probablement confronté au fameux problème du MTU. En résumé,
  78. # le problème vient du fait que le MTU de la liaison entre votre
  79. # fournisseur d'accès et le serveur NAT est un petit peu inférieur au
  80. # MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
  81. # sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
  82. # suivante et remplaçez "eth0" par le nom de l'interface connectée à
  83. # Internet.
  84. #iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu
  85. # FIN des règles pour le partage de connexion (i.e. le NAT)
  86. # DEBUT des règles de "port forwarding"
  87. # Décommentez la ligne suivante pour que les requêtes TCP reçues sur
  88. # le port 80 de l'interface eth0 soient forwardées à la machine dont
  89. # l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera
  90. # forwardée au client)
  91. #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80
  92. # FIN des règles de "port forwarding"


et dans mon /etc/network/interfaces j'ai mis:

Code :
  1. auto lo
  2. iface lo inet loopback
  3.     # Activation de la fonction de forwarding IP au niveau du noyau
  4.     up echo "1" > /proc/sys/net/ipv4/ip_forward
  5. # L'interface "eth0" connectée à Internet (configuration par DHCP)
  6. auto eth0
  7. iface eth0 inet dhcp
  8. # L'interface "eth1" connectée au réseau local (IP privée fixe)
  9. auto eth1
  10. iface eth1 inet static
  11.     address 192.168.0.1
  12.     netmask 255.255.255.0
  13.     broadcast 192.168.0.255


 
ensuite sur les autres postes j'ai mis l'adresse IP de ma passerelle mais pas les dns car je ne les connais pas. Je précise que je ne suis pas connecté à travers un modem mais    par un autre réseau plus grand (celui de mon école).
 
Rien ne marche sur les autres ordis. J'ajoute que même le partage samba ne marche pas.
 
Si vous avez quelques idées je suis preneur, où si vous connaissez un tuto infaillible...
 
Merci à tous,


Message édité par Nelyot Tchagui le 30-11-2004 à 23:29:26
n°598612
Nelyot Tch​agui
Posté le 01-12-2004 à 10:36:03  profilanswer
 

up

n°599477
Faxone
Posté le 02-12-2004 à 21:53:06  profilanswer
 

Pour le partage de connexion, relis le script de 100 à 104 et décommente 105.

n°599491
Faxone
Posté le 02-12-2004 à 22:18:50  profilanswer
 

Pour ton partage de fichier, je ne sais pas. Ton problème est que ta passerelle n'arrive pas à joindre ton serveur de fichiers windows ?
Si tu fais : smbclient -L ipduserveurfichiers
ca donne quoi ?
 
Tu as toujours la possibilité de mettre des sniffers sur les ordis pour essayer de comprendre ce qu'il se passe (ethereal ou tcpdump)

n°599922
Nelyot Tch​agui
Posté le 04-12-2004 à 01:12:42  profilanswer
 

merci pour ton aide.
Effectivement, le serveur nat était bloqué. De plus, il fallait les dns pour les ordis clients. Maintenant le partage de connexion marche. j'ai pas encore réussi avec samba mais ça je finirai bien par y parvenir.
En fait, les ordis sous windows voient le serveur samba sans pouvoir y accéder, tandis que le linux fait comme s'il ne voyait rien.
 
Je n'ai pas encore tout essayé loin de là, donc je ne demande pas d'aide. Je remercie simplement ceux qui m'ont déjà aidé jusqu'ici.
 :jap:


Message édité par Nelyot Tchagui le 04-12-2004 à 01:13:22

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  Petit réseau 5 postes

 

Sujets relatifs
petit éditeur d'image ?probleme étrange avec mes cartes réseau... [urgent svp]
Faire des schémas réseau pas trop mochesBesoin d'aide pour une configuration assée poussé d'un réseau linux
configurer reseau sous mandrake 10comment bien architecturer mon reseau ?
reseau linux xppb connexion reseau mandrake 10
linux pour passerelle internet/reseau local avec win2000[DEBIAN]Impossible de transeférer des .RAR et .ZIP sur le réseau
Plus de sujets relatifs à : Petit réseau 5 postes


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR