Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
atelier:chantier:une-box-maison [20/02/2019 09:08] LaFouine [Installation] |
atelier:chantier:une-box-maison [16/01/2020 16:29] LaFouine [Le point d'accès wifi] |
||
|---|---|---|---|
| Ligne 15: | Ligne 15: | ||
| ===== Introduction ===== | ===== Introduction ===== | ||
| - | L’objectif de ce tutoriel est pour combler un vide qui est le suivant: les tutoriels pour | ||
| - | unbound, isc-dhcp-server, isc-dhcp-client, iptables, hostapd sont souvent là, mais isolés. | ||
| - | Pour un débutant c'est donc difficile de savoir par quoi commencer. | + | L’objectif de ce tutoriel est de combler un vide qui est le suivant : \\ |
| - | l'idée c'est d'avoir quelque chose de fonctionnel pour démarrer. | + | Les tutoriels pour |
| - | Et donc de savoir par quoi commencer. | + | * unbound, |
| + | * isc-dhcp-server, | ||
| + | * isc-dhcp-client, | ||
| + | * iptables, | ||
| + | * hostapd | ||
| + | sont souvent là, mais isolés, pour un débutant c'est difficile de savoir par quoi commencer. | ||
| - | Les conseils [conseil] sous cette clause | + | l'idée de ce tuto c'est d'avoir quelque chose de fonctionnel pour démarrer et donc de savoir par quoi commencer. \\ |
| - | sont facultatifs mais peuvent faire gagner du temps. | + | Les conseils [conseil] sous cette clause sont facultatifs mais peuvent faire gagner du temps. |
| ===== Installation ===== | ===== Installation ===== | ||
| - isc-dhcp-client et iptable sont en principe installés par défaut. | - isc-dhcp-client et iptable sont en principe installés par défaut. | ||
| + | - kernel: :quand vous voulez mai sans cela sa ne marchera pas ;) | ||
| - iptables :en premier | - iptables :en premier | ||
| - isc-dhcp-server :en second | - isc-dhcp-server :en second | ||
| Ligne 35: | Ligne 39: | ||
| - ulogd2 :je l'utilise, mais ce n'est pas indispensable | - ulogd2 :je l'utilise, mais ce n'est pas indispensable | ||
| - matériel possédant aux moins 2 prises rj45 et du wifi. | - matériel possédant aux moins 2 prises rj45 et du wifi. | ||
| + | === kernel ==== | ||
| + | nano /etc/sysctl.conf | ||
| + | <code root> | ||
| + | net.ipv4.ip_forward=1 | ||
| + | </code> | ||
| + | |||
| + | mettre a jour avec un sysctl -p | ||
| + | |||
| === Iptables === | === Iptables === | ||
| Ligne 250: | Ligne 262: | ||
| Je remercie Mikl et raleur dans cette démarche qui sans leur aide j'aurais bien plus galéré | Je remercie Mikl et raleur dans cette démarche qui sans leur aide j'aurais bien plus galéré | ||
| - | . | ||
| - | ==== Serveur Unbound pour un dns local ==== | ||
| - | test | ||
| - | ===== Lien ===== | ||
| + | ===== Serveur Unbound pour un dns local ===== | ||
| + | Soiyer particulièrement prudent car ce service est sensible aux vulnérabilité. | ||
| + | Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, | ||
| + | les valeurs sont à adapter selon vos besoins. j'ai donc juste indiquer les valeurs que j'utilise. | ||
| + | |||
| + | <code root> | ||
| + | nano /etc/unbound/unbound.conf | ||
| + | </code> | ||
| + | |||
| + | <code root> | ||
| + | cat /etc/unbound/unbound.conf | ||
| + | # Unbound configuration file for Debian. | ||
| + | # | ||
| + | # See the unbound.conf(5) man page. | ||
| + | # | ||
| + | # See /usr/share/doc/unbound/examples/unbound.conf for a commented | ||
| + | # reference config file. | ||
| + | # | ||
| + | # The following line includes additional configuration files from the | ||
| + | # /etc/unbound/unbound.conf.d directory. | ||
| + | include: "/etc/unbound/unbound.conf.d/*.conf" | ||
| + | |||
| + | #server: | ||
| + | port: 53 #port d'écoute | ||
| + | do-ip4: yes # | ||
| + | do-ip6: yes # | ||
| + | do-udp: yes #protocole autorisé | ||
| + | do-tcp: yes #indique de communiquer sur le protocole TCP | ||
| + | #interface: 0.0.0.0 | ||
| + | access-control: 192.168.50.0/24 allow | ||
| + | interface: 192.168.50.51 #requi wifi | ||
| + | interface: 192.168.4.21 #requi rj45 | ||
| + | interface: 192.168.3.21 #requi rj45 | ||
| + | interface: 192.168.2.21 #requi rj45 | ||
| + | interface: 127.0.0.1 #? | ||
| + | access-control: 127.0.0.1 allow #? | ||
| + | access-control: 192.168.0.0/24 allow #requis rj45 | ||
| + | access-control: 192.168.2.0/24 allow #requis rj45 | ||
| + | access-control: 192.168.3.0/24 allow #requis rj45 | ||
| + | access-control: 192.168.4.0/24 allow #requis rj45 | ||
| + | access-control: 192.168.50.0/24 allow #requis wifi (pas en service) | ||
| + | private-address: 192.168.0.0/24 #renforce le coter priver et protège de la technique des "Relais DNS" | ||
| + | unwanted-reply-threshold: 10000000 #eviter l'empoisonnement DNS | ||
| + | aggressive-nsec: yes | ||
| + | harden-algo-downgrade: no #l algorithme le plus faible est exclut no | ||
| + | hide-identity: yes # | ||
| + | hide-version: yes | ||
| + | harden-glue: yes | ||
| + | #ssl-upstream: yes # oblige à communiquer sur le protocole TLS. :yes:erreur :debug: tcp error for address 8.8.8.8 port 53 | ||
| + | #ssl-port: 853 | ||
| + | prefetch: yes # garde en cache les bons résultats | ||
| + | prefetch-key: yes # | ||
| + | cache-min-ttl: 100000 #durée minimal | ||
| + | cache-max-ttl: 200000 #durée max | ||
| + | key-cache-size: 50m | ||
| + | infra-cache-numhosts: 1000000 #nombre de host qui peuve etre mis en cache | ||
| + | do-ip6: no #desactive les requetes ipv6 | ||
| + | tcp-idle-timeout: 15000 #delai avant de signialer un timout sur la connextion | ||
| + | |||
| + | harden-below-nxdomain: yes | ||
| + | harden-dnssec-stripped: yes #DNSSEC pour les zones de confiance | ||
| + | val-clean-additional: no #toutes les données DNS non sécurisées son effacee | ||
| + | do-not-query-localhost: yes #permet d'interoger localhost | ||
| + | so-reuseport: yes #linux seulment ameliore les performance udp | ||
| + | #serve-expired: <yes or no> # tester | ||
| + | num-threads: 4 | ||
| + | key-cache-slabs: 8 | ||
| + | infra-cache-slabs: 8 | ||
| + | msg-cache-slabs: 8 | ||
| + | rrset-cache-slabs: 8 | ||
| + | key-cache-size: 100m | ||
| + | key-cache-slabs: 2m | ||
| + | harden-short-bufsize: yes #contre les très petites tailles de mémoire tampon EDNS. | ||
| + | harden-large-queries: yes #contre les requêtes volumineuses | ||
| + | num-queries-per-thread: 100 | ||
| + | |||
| + | val-log-level: 2 #log | ||
| + | verbosity: 5 #plage de 1 a 5 , 5 permet le plus parlant | ||
| + | log-time-ascii: yes #valable sur un autre fichier que syslog | ||
| + | log-queries: yes #affiche une ligne par requete | ||
| + | log-replies: yes #affiche une ligne par requete,(réponse) | ||
| + | log-local-actions: yes #affiche les info de la zone local | ||
| + | log-servfail: yes #afficher pourquoi les requêtes renvoient SERVFAIL Ref doc | ||
| + | |||
| + | logfile: /var/log/unbound.log #chemin d'accès | ||
| + | |||
| + | #private-domain: "domroxlan.dom" #domaine local | ||
| + | |||
| + | forward-zone: | ||
| + | name: "." | ||
| + | #forward-addr: 192.168.0.1@53 | ||
| + | forward-addr: 1.1.1.1@53 | ||
| + | forward-addr: 1.0.0.1@53 | ||
| + | forward-addr: 65.2.17.60@53 | ||
| + | forward-addr: 65.2.17.61@53 | ||
| + | forward-addr: 66.2.24.158@53 | ||
| + | forward-addr: 67.2.24.162@53 | ||
| + | forward-addr: 8.8.8.8@53 | ||
| + | </code> | ||
| + | |||
| + | Bug connu : | ||
| + | Si dans fichier /var/log/syslog vous avez ceci | ||
| + | <code root> | ||
| + | Jan 16 14:10:11 box kernel: [ 1352.364742] audit: type=1400 audit(1579180211.005:13): apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/var/log/unbound/unbound.log" pid=1000 comm="unbound" requested_mask="ac" denied_mask="ac" fsuid=106 ouid=0 | ||
| + | Jan 16 14:10:11 box unbound[1000]: Jan 16 14:10:11 unbound[1000:0] debug: switching log to /var/log/unbound/unbound.log | ||
| + | Jan 16 14:10:11 box unbound[1000]: Jan 16 14:10:11 unbound[1000:0] error: Could not open logfile /var/log/unbound/unbound.log: Permission denied | ||
| + | </code> | ||
| + | |||
| + | unbound ne peux pas ecrire dans le log que vou lui avez fourni,ceci est lier à apparmor | ||
| + | il y a peut de documentation en français: | ||
| + | |||
| + | la solution est celle-ci | ||
| + | |||
| + | <code user> | ||
| + | Mettre ceci | ||
| + | /{,var/}run/systemd/notify w, | ||
| + | Dans le fichier | ||
| + | /etc/apparmor.d/usr.sbin.unbound | ||
| + | </code> | ||
| + | |||
| + | Ensuite ceci ne devrai rien renvoiyer (donc tout va bien) | ||
| + | <code root>apparmor_parser -r /etc/apparmor.d/usr.sbin.unbound</code> | ||
| + | |||
| + | Verifier les droit sur le fichier aux besoin pour tester 0777 mai en principe un 0770 devrai suffire. | ||
| + | Relancer le service unbound et regarder si le log est pris en compte | ||
| + | |||
| + | il peux être nécessaire de changer le fichier | ||
| + | |||
| + | <code root>/etc/resolv.conf</code> | ||
| + | |||
| + | de façons a ce qu'il contienne : | ||
| + | <code root> | ||
| + | nameserver 127.0.0.1 | ||
| + | </code> | ||
| + | |||
| + | Rappelle: Ce fichier a la fâcheuse tendance a ce modifier. Vous pouvez donc le verrouiller avec la commande chattr, | ||
| + | **Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier. | ||
| + | Par exemple, si vous supprimer le paquet unbound l'ip ne pourra plus ce mettre à jours. (c'est un exemple parmi les nombreuse autres mauvaise surprise qui en découle.) | ||
| + | |||
| + | Attention l'utilisation peux empêcher le système d'écrire du coup le répertoire /etc est utiliser a la place. | ||
| + | vous aurez alors quelque chose de semblable | ||
| + | <code root> | ||
| + | ls /etc |grep resolv.conf.dhclient | ||
| + | -rw-r--r-- 1 root root 47 mai 25 03:31 resolv.conf.dhclient-new.12784 | ||
| + | -rw-r--r-- 1 root root 47 mai 25 12:06 resolv.conf.dhclient-new.13099 | ||
| + | -rw-r--r-- 1 root root 47 mai 25 20:57 resolv.conf.dhclient-new.13271 | ||
| + | </code> | ||
| + | |||
| + | il est peut etre possible de passer par le fichier /etc/dhcp/dhclient.conf | ||
| + | en modifiant ou en l'ajoutant avec | ||
| + | |||
| + | <code root> | ||
| + | supersede domain-name-servers 127.0.0.1; | ||
| + | </code> | ||
| + | |||
| + | En redémarrant (le service ou la machine) cela devrai aux moins vous garder la ligne concernée, mai comme ça boxe a fond dans ce fichier il est possible qu'autre chose vienne le modifier après... bref c'est bien relou pour pas grand chose et impossible d'être certain de ne pas avoir une modification suite a une installation d'un autre logiciel etc etc. | ||
| + | |||
| + | <note important>je n’apprécie pas ce type de comportement de la part des développeur, pour la simple et bonne raison est que si un fichier est modifier par l'utilisateur on a plus le droit de le modifier sans son accords, particulièrement quand il s'agis de la configuration du système. car en cas de problème qui est responsable, la dernière valeur ou l'utilisateur,surtout que ça peux en plus venir, aux moment du renouvellement du bail de la box du FAI !</note> | ||
| + | |||
| + | Pour tester utiliser la commande: dig | ||
| + | |||
| + | Si vous êtes sur un O.S propriétaire il peux s'avérer utile d'y effacer le cache dns sur un client windows on utilisera: | ||
| + | <code>ipconfig /flushdns </code> | ||
| + | |||
| + | |||
| + | |||
| + | A partir la cela devrai suffire pour une connexion filaire et être fonctionnel, | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | ===== Le point d'accès wifi ===== | ||
| + | |||
| + | l'installation est assez simple. | ||
| + | |||
| + | |||
| + | <code root>aptitude install hostapd</code> | ||
| + | |||
| + | fichier de configuration: **/etc/hostapd/hostapd.conf** | ||
| + | |||
| + | <code root> | ||
| + | interface=wlx | ||
| + | |||
| + | #interface=wlan0 | ||
| + | driver=nl80211 | ||
| + | # Nom du spot Wi-Fi | ||
| + | ssid=Rox | ||
| + | country_code=Ch | ||
| + | #hw_mode=g | ||
| + | channel=7 | ||
| + | macaddr_acl=0 | ||
| + | #wifi fermer = 1 ouver 0 | ||
| + | auth_algs=1 | ||
| + | ignore_broadcast_ssid=0 | ||
| + | wpa=2 | ||
| + | wpa_passphrase=15carracteconseillier:D | ||
| + | wpa_key_mgmt=WPA-PSK | ||
| + | wpa_pairwise=TKIP | ||
| + | wpa_group_rekey=86400 | ||
| + | ieee80211n=1 | ||
| + | # Beacon interval in kus (1.024 ms) | ||
| + | beacon_int=100 | ||
| + | # mode Wi-Fi (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g) | ||
| + | hw_mode=g | ||
| + | wme_enabled=1 | ||
| + | # DTIM (delivery trafic information message) | ||
| + | dtim_period=2 | ||
| + | # Maximum number of stations allowed in station table | ||
| + | max_num_sta=10 | ||
| + | # Fragmentation threshold; 2346 = disabled (default) | ||
| + | fragm_threshold=2346 | ||
| + | </code> | ||
| + | j'ai pas trouver de documentation en français mai, il faut chercher a savoir 2 chose | ||
| + | Si la carte/clé wifi est bien reconnu par le kernel. | ||
| + | Le nom qui est retenu ou plutôt attribuer a cette carte ici : wlx | ||
| + | Note avec iptables je vous conseil de filtrer les adresse mac, c' est pas infaillible mai sa va laisser des trace dans les log et prime de complique de compliquer la la tache du pirate. Dans le cas ou la clef serai craquée. | ||
| + | vous devriez a ce stade avoir une machine qui ser donc "pc/box" transportable n'importe ou, avec votre distribution | ||
| + | ,un serveur dns,un point d'accès wifi. | ||
| + | Je remercie à tout ceux qui m'on apporter l'aide grâce aux forum.:-O | ||
