Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
atelier:chantier:une-box-maison [27/11/2018 20:50] LaFouine créée |
atelier:chantier:une-box-maison [12/12/2018 19:16] LaFouine [Unbound] |
||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
* Création par [[user>LaFouine]] 27/11/2018 | * Création par [[user>LaFouine]] 27/11/2018 | ||
* Testé par <...> le <...> FIXME | * Testé par <...> le <...> FIXME | ||
- | * Commentaires sur le forum : [[:url-invalide | en court de redaction ]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) FIXME | + | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?pid=284468#p284468 | en court de redaction ]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) FIXME |
**Nota :** | **Nota :** | ||
Ligne 22: | Ligne 22: | ||
Et donc de savoir par quoi commencer. | Et donc de savoir par quoi commencer. | ||
- | Les conseil sous cette clause sont facultatif mai peut faire gagnier du temps. | + | Les conseil [conseil] sous cette clause |
- | Il y a bien un point noir c'est temp pour trouver les informations | + | sont facultatif mai peuve faire gagnier du temps. |
===== Installation ===== | ===== Installation ===== | ||
Ligne 34: | Ligne 35: | ||
- ulogd2 :je l'utilise, mai c'est pas indispensable | - ulogd2 :je l'utilise, mai c'est pas indispensable | ||
- matériel possédant aux moins 2 prise rj45 et du wifi. | - matériel possédant aux moins 2 prise rj45 et du wifi. | ||
- | ===== Utilisation ===== | + | === Iptables === |
__Note, ce tutoriel est en cour de rédaction donc ne pas s'en servir pour le moment.__ | __Note, ce tutoriel est en cour de rédaction donc ne pas s'en servir pour le moment.__ | ||
Ligne 43: | Ligne 44: | ||
Une distribution que je connaît bien et donc les outils. | Une distribution que je connaît bien et donc les outils. | ||
Un deuxième pc qui peux dépanner. | Un deuxième pc qui peux dépanner. | ||
- | Apprendre, et pouvoir contrôler son reseaux chez soi. | + | Apprendre, et pouvoir contrôler son réseaux chez soi. |
etc etc. | etc etc. | ||
+ | Le schéma est le suivant: | ||
- | Le chéma est le suivant: | + | [la box du FAI] <-> [la box maison] <-> vos machine |
+ | on s'ocuppe pas de l'ipv6, | ||
+ | j'ai malheureusement un FAI qui ne fourni pas ce type de prestation :( | ||
+ | la configuration ipv6 n'est pas abordée, | ||
+ | je vous recommande de fermer ipv6 si comme mois rien ne peux passer, | ||
+ | l'ipv6 est en principe une norme qui devrai être acceptée. | ||
- | la box du FAI <----> [la box maison] <-> vos machine | ||
- | |||
- | Cela peut paraitre simple mai vu le nombre de logiciel à configurer ce n'est pas franchement facile. | ||
iptables en premier pourquoi ? | iptables en premier pourquoi ? | ||
- | + | Parce que c est aussi la sécurité, | |
- | Parce que c est aussi la securiter, | + | |
ensuite parce que cela peux loguer, | ensuite parce que cela peux loguer, | ||
les ligne suivante sont a adapter, car le nom de l'interface peux changer. | les ligne suivante sont a adapter, car le nom de l'interface peux changer. | ||
+ | la cible MASQUERADE indique de faire du nat, ce qui sera utilise dans ce tutoriel, | ||
+ | il est possible de faire autrement avec un pont/bridge | ||
+ | |||
+ | Requis: | ||
+ | <file iptablebox.sh> | ||
+ | iptables -t nat -A POSTROUTING -o enp1s0 -j MASQUERADE | ||
+ | |||
+ | iptables -A FORWARD -i enp1s0 -o wlanwifi -j ACCEPT | ||
+ | iptables -A FORWARD -i wlanwifi -o enp1s0 -j ACCEPT | ||
+ | </file> | ||
+ | |||
+ | Facultatif. | ||
+ | <file bash nom.sh> | ||
+ | Limit=30 | ||
+ | Burst=10 | ||
+ | iptables -t nat -A POSTROUTING -m limit --limit $Limit/h --limit-burst $Burst -j NFLOG --nflog-group 0 --nflog-prefix NAT_POSTROUTING | ||
+ | iptables -t nat -A PREROUTING -m limit --limit $Limit/h --limit-burst $Burst -j NFLOG --nflog-group 0 --nflog-prefix NAT_PREROUTING | ||
+ | iptables -t nat -A INPUT -m limit --limit $Limit/h --limit-burst $Burst -j NFLOG --nflog-group 0 --nflog-prefix NAT_INPUT | ||
+ | iptables -t nat -A OUTPUT -m limit --limit $Limit/h --limit-burst $Burst -j NFLOG --nflog-group 0 --nflog-prefix "NAT_OUTPUT | ||
+ | </file> | ||
+ | |||
+ | Note: Il faut savoir que ces règle disparaisse aux reboot. | ||
+ | Comme il y beaucoup de tutoriel sur iptables. | ||
+ | je vais plutôt vous donner les lien sur la documentation (ça chargerai trop le tutoriel). | ||
+ | Sur debian facile[[https://debian-facile.org/doc:reseau:iptables-pare-feu-pour-une-passerelle]] | ||
+ | Lien externe plus complet: [[https://www.inetdoc.net/guides/iptables-tutorial/]] | ||
+ | |||
+ | |||
+ | === isc-dhcp-server === | ||
+ | |||
+ | |||
+ | isc-dhcp-server. Important.! | ||
+ | |||
+ | Ne démarre pas si le fichier /etc/network/interfaces est pas en relation parfaite, j'explique: | ||
+ | |||
+ | Il faut que l'interface soie opérationnel/active et donc bien paramétrer , sinon isc-dhcp-server ne démarra pas . | ||
+ | si ce dernier ne démarre pas unbound en fera de même. | ||
+ | |||
+ | si vous utiliser un client windows pour tester, je vous recommande de le redémarrer, | ||
+ | Windows à du mal avec le réseaux à ce mettre à jour correctement avec une reconnexion >--> reconnexion, | ||
+ | de même pour la box, certain paramètre peuve changer /etc/resolv.conf est un classique. | ||
+ | Parfois c'est certaine interface qui ne s'active pas. | ||
+ | |||
+ | l'ordre de démarrage peux joue un rôle, je vous conseil de faire votre propre service ou de modifier la configuration de debian pour que cela démarre comme citer plus haut. | ||
+ | |||
+ | Petite prenthese pour les débutan et aussi Facultatif: | ||
+ | |||
+ | je conseil d'utiliser les alias pour editer les fichier sa va grandement vous faciliter la tache, comme sa ce passe sous root | ||
+ | soiyer vigilant a ne pas faire n'importe quoi. sous debian si vous voulez que cela soie pour tout les utilisateur ça ce passe dans ce fichier | ||
+ | |||
+ | <code root>/etc/bash.bashrc</code> | ||
+ | <code root> | ||
+ | Editeur="nano" | ||
+ | alias ndhcp=$Editeur' /etc/dhcp/dhcpd.conf' | ||
+ | alias ndhcps=$Editeur' /etc/default/isc-dhcp-server' | ||
+ | alias ndhcp=$Editeur' /etc/dhcp/dhcpd.conf' | ||
+ | </code> | ||
+ | ce fichier est en root mai vous pouvez aussi placer cela aux niveau utilisateur, | ||
+ | Cela va vous éviter de taper chaque fois le chemin et en plus de devoir ou il | ||
+ | ce trouve: | ||
+ | un oubli ? : **alias** | ||
+ | vous les montreras. | ||
+ | |||
+ | === isc-dhcp-server choisir les interfaces === | ||
+ | |||
+ | Ces fichier sont sous **root** | ||
+ | Donc penser à faire une sauvegarde avant toute chose ! | ||
+ | éditer le fichier **/etc/default/isc-dhcp-server** | ||
+ | <file bash nom.sh> | ||
+ | #ipv4 | ||
+ | INTERFACESv4="enp2s0 enp3s0 enp4s0 wlx64f06d883452" | ||
+ | #ipv6 si vide pas d'interface donc pas d'ipv6 | ||
+ | INTERFACESv6="" | ||
+ | </file> | ||
+ | |||
+ | |||
+ | Vous remarquer qu'il manque l'interface enp1s0, car c est celle ci a un câble relier a la box du FAI , donc en dhcp ou en static | ||
+ | regarder dans la doc de votre box du fournisseur pour y mettre une ip fixe c'est quand même plus pratique. | ||
+ | |||
+ | === isc-dhcp-server configuration dhcp === | ||
+ | |||
+ | éditer le fichier : **/etc/dhcp/dhcpd.conf** | ||
+ | |||
+ | <code root> | ||
+ | authoritative; | ||
+ | |||
+ | option domain-name "domroxlan.dom"; | ||
+ | |||
+ | default-lease-time 600; | ||
+ | max-lease-time 7200; | ||
+ | ddns-update-style none; | ||
+ | log-facility local7; | ||
+ | option subnet-mask 255.255.255.0; | ||
+ | |||
+ | subnet 192.168.2.0 netmask 255.255.255.0 { | ||
+ | range 192.168.2.20 192.168.2.29; | ||
+ | option routers 192.168.2.21; | ||
+ | option broadcast-address 192.168.2.255; | ||
+ | option domain-name-servers 192.168.2.21; | ||
+ | } | ||
+ | |||
+ | subnet 192.168.3.0 netmask 255.255.255.0 { | ||
+ | range 192.168.3.20 192.168.3.29; | ||
+ | option routers 192.168.3.21; | ||
+ | option broadcast-address 192.168.3.255; | ||
+ | option domain-name-servers 192.168.3.21; | ||
+ | } | ||
+ | |||
+ | subnet 192.168.4.0 netmask 255.255.255.0 { | ||
+ | range 192.168.4.20 192.168.4.29; | ||
+ | option routers 192.168.4.21; | ||
+ | option broadcast-address 192.168.4.255; | ||
+ | option domain-name-servers 192.168.4.21; | ||
+ | } | ||
+ | |||
+ | |||
+ | subnet 192.168.50.0 netmask 255.255.255.0 | ||
+ | { | ||
+ | range 192.168.50.50 192.168.50.60; | ||
+ | option routers 192.168.50.51; | ||
+ | option broadcast-address 192.168.50.255; | ||
+ | option domain-name-servers 192.168.50.51; | ||
+ | } | ||
+ | </code> | ||
+ | |||
+ | Ici soyer précis dans la syntaxe car si vous tromper d'un chiffre sa pas vous donne la moindre info. | ||
+ | |||
+ | **IMPORTANT**: une fois que tout fonctionne changer ces valeur pour des raison de sécurité évidement , | ||
+ | pour des raison qui mon poussez a faire cette documentation c'est le manque de wiki a fournir une ip complète... en gros une configuration qui fonctionne . | ||
+ | |||
+ | |||
+ | === Configuration des interfaces === | ||
+ | sujet : Le fichier /etc/network/interfaces | ||
+ | |||
+ | __Conseille__: | ||
+ | |||
+ | j'ai rencontrer un bug a un moment donner en changent la configuration de ce fichier. | ||
+ | Je recommande donc d’arrêter le service AVANT de le modifier! | ||
+ | Profiter de faire de même, et donc ce qui l'utilise. | ||
+ | |||
+ | pas la peine de dire que la connections est coupée si vous fait cela :) | ||
+ | |||
+ | <code root> | ||
+ | source /etc/network/interfaces.d/* | ||
+ | |||
+ | auto lo | ||
+ | iface lo inet loopback | ||
+ | #============== wifi ============= | ||
+ | allow-hotplug wlx234f0432556912 | ||
+ | iface wlx234f0432556912inet static | ||
+ | address 192.168.50.51 | ||
+ | netmask 255.255.255.0 | ||
+ | network 192.168.50.0 | ||
+ | wireless-power off | ||
+ | #============= rj45 ============== | ||
+ | allow-hotplug enp1s0 | ||
+ | iface enp1s0 inet static | ||
+ | address 192.168.0.11/24 | ||
+ | gateway 192.168.0.1 | ||
+ | # dns-* options are implemented by the resolvconf package, if installed | ||
+ | #dpkg -l |grep resolvconf = null | ||
+ | #dns-nameservers 192.168.0.1 | ||
+ | # dns-search domroxlan.dom | ||
+ | |||
+ | allow-hotplug enp2s0 | ||
+ | iface enp2s0 inet static | ||
+ | address 192.168.2.21 | ||
+ | netmask 255.255.255.0 | ||
+ | network 192.168.2.0 | ||
+ | |||
+ | allow-hotplug enp3s0 | ||
+ | iface enp3s0 inet static | ||
+ | address 192.168.3.21 | ||
+ | netmask 255.255.255.0 | ||
+ | network 192.168.3.0 | ||
+ | |||
+ | allow-hotplug enp4s0 | ||
+ | iface enp4s0 inet static | ||
+ | address 192.168.4.21 | ||
+ | netmask 255.255.255.0 | ||
+ | network 192.168.4.0 | ||
+ | |||
+ | </code> | ||
+ | |||
+ | A ce stade les connexion filaire ne marchera pas car unbound n'est pas présent donc il faut faire la suite | ||
+ | si vous voulez que cela marche ainsi utiliser le dns de la box à ce moment la :) | ||
+ | |||
+ | |||
+ | |||
+ | Je remercie Mikl et raleur dans cette démarche qui sans leur aide j'aurai bien plus galérer | ||
+ | |||
+ | . | ||
+ | |||
+ | ==== Serveur Unbound pour un dns local ==== | ||
+ | test | ||