logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).


L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
atelier:chantier:une-box-maison [20/02/2019 09:46]
LaFouine [Lien]
atelier:chantier:une-box-maison [29/10/2022 11:39] (Version actuelle)
ubub [Le point d'accès wifi] ortpgraphe
Ligne 15: Ligne 15:
  
 ===== Introduction ===== ===== Introduction =====
-L’objectif de ce tutoriel est pour combler un vide qui est le suivant: les tutoriels pour 
-unbound, isc-dhcp-server,​ isc-dhcp-client,​ iptables, hostapd ​ sont souvent là, mais isolés. 
  
-Pour un débutant c'est donc difficile ​de savoir par quoi commencer. ​ +L’objectif de ce tutoriel ​est de combler un vide qui est le suivant : \\ 
-l'​idée ​c'​est ​d'​avoir quelque chose de fonctionnel pour démarrer.  +Les tutoriels pour 
-Et donc de savoir par quoi commencer.+  * unbound, 
 +  * isc-dhcp-server,​ 
 +  * isc-dhcp-client,​ 
 +  * iptables, 
 +  * hostapd 
 +sont souvent là, mais isolés, pour un débutant ​c'​est ​difficile ​de savoir par quoi commencer.
  
-Les conseils [conseil] sous cette clause ​ +l'​idée de ce tuto c'est d'​avoir quelque chose de fonctionnel pour démarrer et donc de savoir par quoi commencer. \\ 
-sont facultatifs mais peuvent faire gagner du temps. ​+Les conseils [conseil] sous cette clause sont facultatifs mais peuvent faire gagner du temps. ​
  
  
 ===== Installation ===== ===== Installation =====
   - isc-dhcp-client et iptable sont en principe installés par défaut.   - isc-dhcp-client et iptable sont en principe installés par défaut.
 +  - kernel: ​        :​quand vous voulez mais sans cela ça ne marchera pas ;)
   - iptables ​       :en premier   - iptables ​       :en premier
   - isc-dhcp-server :en second   - isc-dhcp-server :en second
Ligne 35: Ligne 39:
   - ulogd2 ​         :je l'​utilise,​ mais ce n'est pas indispensable   - ulogd2 ​         :je l'​utilise,​ mais ce n'est pas indispensable
   - matériel possédant aux moins 2 prises rj45 et du wifi.   - matériel possédant aux moins 2 prises rj45 et du wifi.
 +=== kernel ====
 +nano /​etc/​sysctl.conf
 +<code root>
 +net.ipv4.ip_forward=1
 +</​code>​
 +
 +mettre a jour avec un sysctl -p
 +
 === Iptables === === Iptables ===
  
Ligne 103: Ligne 115:
 Windows à du mal avec le réseau à se mettre à jour correctement avec une reconnexion >--> reconnexion,​ Windows à du mal avec le réseau à se mettre à jour correctement avec une reconnexion >--> reconnexion,​
 de même pour la box,  certains paramètres peuvent changer, /​etc/​resolv.conf est un classique. ​ de même pour la box,  certains paramètres peuvent changer, /​etc/​resolv.conf est un classique. ​
-Parfois ​c'​est ​certaines interfaces qui ne s'​activent pas.+Parfois ​ce sont certaines interfaces qui ne s'​activent pas.
  
 L'​ordre de démarrage peut jouer un rôle, je vous conseille de faire votre propre service ou de modifier la configuration de Debian pour que cela démarre comme cité  plus haut. L'​ordre de démarrage peut jouer un rôle, je vous conseille de faire votre propre service ou de modifier la configuration de Debian pour que cela démarre comme cité  plus haut.
Ligne 110: Ligne 122:
  
 Je conseille d'​utiliser les alias pour éditer les fichiers cela va grandement vous faciliter la tâche, comme cela se passe sous root. Je conseille d'​utiliser les alias pour éditer les fichiers cela va grandement vous faciliter la tâche, comme cela se passe sous root.
-Soiyez ​vigilants à ne pas faire n'​importe quoi sous Debian. Si vous voulez que cela soit pour tous les utilisateurs ça ce passe dans ce fichier :+Soyez vigilants à ne pas faire n'​importe quoi sous Debian. Si vous voulez que cela soit pour tous les utilisateurs ça ce passe dans ce fichier :
  
 <code root>/​etc/​bash.bashrc</​code>​ <code root>/​etc/​bash.bashrc</​code>​
Ligne 119: Ligne 131:
 alias ndhcp=$Editeur'​ /​etc/​dhcp/​dhcpd.conf'​ alias ndhcp=$Editeur'​ /​etc/​dhcp/​dhcpd.conf'​
 </​code>​ </​code>​
-Ce fichier est en root mais vous pouvez aussi placer ​cela au niveau utilisateur. Cela va vous éviter de taper chaque fois le chemin et en plus de devoir savoir où il se trouve: ​+Ce fichier est en root mais vous pouvez aussi le placer au niveau utilisateur. Cela va vous éviter de taper chaque fois le chemin et de devoir ​en plus savoir où il se trouve: ​
 un oubli ?  : **alias** ​ un oubli ?  : **alias** ​
 vous le montrera. vous le montrera.
Ligne 184: Ligne 196:
 </​code>​ </​code>​
  
-Ici soyez précis dans la syntaxe car si vous trompez d'un chiffre cela ne vous donne la moindre info.+Ici soyez précis dans la syntaxe car si vous vous trompez d'un chiffre cela ne vous donnera pas la moindre info.
  
 **IMPORTANT**:​ une fois que tout fonctionne changer ces valeurs pour des raison de sécurité évidentes, ​ **IMPORTANT**:​ une fois que tout fonctionne changer ces valeurs pour des raison de sécurité évidentes, ​
Ligne 199: Ligne 211:
 Profitez de faire de même, et donc ce qui l'​utilise. Profitez de faire de même, et donc ce qui l'​utilise.
  
-Pas la peine de dire que la connection ​est coupée si vous faites cela :)+Pas la peine de dire que la connexion ​est coupée si vous faites cela :)
  
 <code root> <code root>
Ligne 243: Ligne 255:
 </​code>​ </​code>​
  
-ce stade les connexions filaires ne marcheront pas car unbound n'est pas présent donc il faut faire la suite +À ce stade les connexions filaires ne marcheront pas car unbound n'est pas présent donc il faut faire la suite 
 si vous voulez que cela marche ainsi utilisez le dns de la box à ce moment là :) si vous voulez que cela marche ainsi utilisez le dns de la box à ce moment là :)
  
  
  
-Je remercie Mikl et raleur dans cette démarche ​qui sans leur aide j'​aurais bien plus galéré+Je remercie Mikl et raleur dans cette démarche ​car sans leur aide j'​aurais bien plus galéré
  
  
Ligne 259: Ligne 271:
  
  
-Soiyer ​particulièrement prudent car ce service est sensible aux vulnérabilité.+Soyez particulièrement prudent car ce service est sensible aux vulnérabilités.
  
 Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, ​ Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, ​
-les valeurs sont à adapter selon vos besoins. j'ai donc juste indiquer ​les valeurs que j'​utilise.+les valeurs sont à adapter selon vos besoins. j'ai donc juste indiqué ​les valeurs que j'​utilise.
  
 <code root> <code root>
Ligne 289: Ligne 301:
 #interface: 0.0.0.0 #interface: 0.0.0.0
 access-control: ​        ​192.168.50.0/​24 allow access-control: ​        ​192.168.50.0/​24 allow
-interface: ​             192.168.50.51 ​                  #requi wifi +interface: ​             192.168.50.51 ​                  #requis ​wifi 
-interface: ​             192.168.4.21 ​                   #requi rj45 +interface: ​             192.168.4.21 ​                   #requis ​rj45 
-interface: ​             192.168.3.21 ​                   #requi rj45 +interface: ​             192.168.3.21 ​                   #requis ​rj45 
-interface: ​             192.168.2.21 ​                   #requi rj45+interface: ​             192.168.2.21 ​                   #requis ​rj45
 interface: ​             127.0.0.1 ​                      #? interface: ​             127.0.0.1 ​                      #?
 access-control: ​        ​127.0.0.1 ​      ​allow ​          #? access-control: ​        ​127.0.0.1 ​      ​allow ​          #?
Ligne 300: Ligne 312:
 access-control: ​        ​192.168.4.0/​24 ​ allow           #​requis rj45 access-control: ​        ​192.168.4.0/​24 ​ allow           #​requis rj45
 access-control: ​        ​192.168.50.0/​24 allow           #​requis wifi (pas en service) access-control: ​        ​192.168.50.0/​24 allow           #​requis wifi (pas en service)
-private-address: ​       192.168.0.0/​24 ​                 #renforce le coter priver ​et  protège de la technique des "​Relais DNS"+private-address: ​       192.168.0.0/​24 ​                 #renforce le coté privé ​et  protège de la technique des "​Relais DNS"
 unwanted-reply-threshold:​ 10000000 ​                     #eviter l'​empoisonnement DNS unwanted-reply-threshold:​ 10000000 ​                     #eviter l'​empoisonnement DNS
 aggressive-nsec:​ yes aggressive-nsec:​ yes
Ligne 311: Ligne 323:
 prefetch: ​              ​yes ​                            # garde en cache les bons résultats prefetch: ​              ​yes ​                            # garde en cache les bons résultats
 prefetch-key: ​          ​yes ​                            # prefetch-key: ​          ​yes ​                            #
-cache-min-ttl: ​         100000 ​                         #​durée ​minimal+cache-min-ttl: ​         100000 ​                         #​durée ​minimale
 cache-max-ttl: ​         200000 ​                         #durée max cache-max-ttl: ​         200000 ​                         #durée max
 key-cache-size: ​        50m key-cache-size: ​        50m
-infra-cache-numhosts: ​  ​1000000 ​                        #​nombre ​de host qui peuve etre mis en cache +infra-cache-numhosts: ​  ​1000000 ​                        #​nombre ​d'​hôtes ​qui peuvent être mis en cache 
-do-ip6: ​                ​no ​                             #desactive les requetes ​ipv6 +do-ip6: ​                ​no ​                             #desactive les requêtes ​ipv6 
-tcp-idle-timeout: ​      ​15000 ​                          #​delai avant de signialer ​un timout ​sur la connextion+tcp-idle-timeout: ​      ​15000 ​                          #​delai avant de signaler ​un timeout ​sur la connextion
  
 harden-below-nxdomain: ​ yes harden-below-nxdomain: ​ yes
 harden-dnssec-stripped:​ yes                             #​DNSSEC pour les zones de confiance harden-dnssec-stripped:​ yes                             #​DNSSEC pour les zones de confiance
-val-clean-additional: ​  ​no ​                             #toutes les données DNS non sécurisées son effacee +val-clean-additional: ​  ​no ​                             #toutes les données DNS non sécurisées son effacées 
-do-not-query-localhost:​ yes                             #​permet d'interoger ​localhost +do-not-query-localhost:​ yes                             #​permet d'interroger ​localhost 
-so-reuseport: ​          ​yes ​                            #​linux ​seulment ameliore ​les performance udp+so-reuseport: ​          ​yes ​                            #{linux seulement} améliore ​les performance udp
 #​serve-expired:​ <yes or no> ​                            # tester #​serve-expired:​ <yes or no> ​                            # tester
 num-threads:​ 4 num-threads:​ 4
Ligne 336: Ligne 348:
  
 val-log-level: ​         2                               #log val-log-level: ​         2                               #log
-verbosity: ​             5                               #​plage de 1 5 , 5 permet le plus parlant+verbosity: ​             5                               #​plage de 1 à 5 , 5 permet le plus parlant
 log-time-ascii: ​        ​yes ​                            #​valable sur un autre fichier que syslog log-time-ascii: ​        ​yes ​                            #​valable sur un autre fichier que syslog
-log-queries: ​           yes                             #​affiche une ligne par requete +log-queries: ​           yes                             #​affiche une ligne par requête 
-log-replies: ​           yes                             #​affiche une ligne par requete,(réponse)+log-replies: ​           yes                             #​affiche une ligne par requête,(réponse)
 log-local-actions: ​     yes                             #​affiche les info de la zone local log-local-actions: ​     yes                             #​affiche les info de la zone local
 log-servfail: ​          ​yes ​                            #​afficher pourquoi les requêtes renvoient SERVFAIL Ref doc log-servfail: ​          ​yes ​                            #​afficher pourquoi les requêtes renvoient SERVFAIL Ref doc
Ligne 359: Ligne 371:
 </​code>​ </​code>​
  
 +Bug connu  :
 +Si dans le fichier /​var/​log/​syslog vous avez ceci 
 +<code root>
 +Jan 16 14:10:11 box kernel: [ 1352.364742] audit: type=1400 audit(1579180211.005:​13):​ apparmor="​DENIED"​ operation="​open"​ profile="/​usr/​sbin/​unbound"​ name="/​var/​log/​unbound/​unbound.log"​ pid=1000 comm="​unbound"​ requested_mask="​ac"​ denied_mask="​ac"​ fsuid=106 ouid=0
 +Jan 16 14:10:11 box unbound[1000]:​ Jan 16 14:10:11 unbound[1000:​0] debug: switching log to /​var/​log/​unbound/​unbound.log
 +Jan 16 14:10:11 box unbound[1000]:​ Jan 16 14:10:11 unbound[1000:​0] error: Could not open logfile /​var/​log/​unbound/​unbound.log:​ Permission denied
 +</​code>​
 +
 +unbound ne peux pas écrire dans le log que vous lui avez fourni, cela est lié à apparmor ​
 +il y a peu de documentation en français:
 +
 +la solution est celle-ci
 +
 +<code user>
 +Mettre ceci
 +/​{,​var/​}run/​systemd/​notify w, 
 +Dans le fichier
 +/​etc/​apparmor.d/​usr.sbin.unbound
 +</​code>​
 +
 +Ensuite ceci ne devrai rien renvoyer (donc tout va bien)
 +<code root>​apparmor_parser -r /​etc/​apparmor.d/​usr.sbin.unbound</​code>​
 +
 +Vérifier les droits sur le fichier au besoin pour tester 0777 mais en principe un 0770 devrai suffire.
 +Relancer le service unbound et regarder si le log est pris en compte
  
 il peux être nécessaire de changer le fichier il peux être nécessaire de changer le fichier
Ligne 364: Ligne 401:
 <code root>/​etc/​resolv.conf</​code>​ <code root>/​etc/​resolv.conf</​code>​
  
-de façons a ce qu'il contienne :+de façon à ce qu'il contienne :
 <code root> <code root>
 nameserver 127.0.0.1 nameserver 127.0.0.1
 </​code>​ </​code>​
  
-Rappelle: Ce fichier a la fâcheuse tendance ​a ce modifier. Vous pouvez donc le verrouiller avec la commande chattr,+Rappelle: Ce fichier a la fâcheuse tendance ​à se modifier. Vous pouvez donc le verrouiller avec la commande ​**chattr**,
 **Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier. **Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier.
-Par exemple, si vous supprimer ​le paquer ​unbound l'ip ne pourra plus ce mettre à jours. (c'est un exemple parmi les nombreuse autres ​mauvaise surprise ​qui en découle.)+Par exemple, si vous supprimez ​le paquet ​unboundl'ip ne pourra plus se mettre à jour. (c'est un exemple parmi les nombreuse autres ​mauvaises surprises ​qui en découlent.)
  
-Pour tester utiliser la commande: dig +Attention l'​utilisation peut empêcher le système d'​écrire du coup le répertoire **/etc** est utiliseé à la place. 
 +vous aurez alors quelque chose de semblable  
 +<code root> 
 +ls /etc |grep resolv.conf.dhclient 
 +-rw-r--r-- 1 root root      47 mai 25 03:31 resolv.conf.dhclient-new.12784 
 +-rw-r--r-- 1 root root      47 mai 25 12:06 resolv.conf.dhclient-new.13099 
 +-rw-r--r-- 1 root root      47 mai 25 20:57 resolv.conf.dhclient-new.13271 
 +</​code>​ 
 + 
 +il est peut être possible de passer par le fichier /​etc/​dhcp/​dhclient.conf 
 +en modifiant ou en l'​ajoutant avec  
 + 
 +<code root> 
 +supersede domain-name-servers 127.0.0.1;​ 
 +</​code>​ 
 + 
 +En redémarrant (le service ou la machine) cela devrait au moins vous garder la ligne concernée, mais comme ça boxe a fond dans ce fichier il est possible qu'​autre chose vienne le modifier après... bref c'est bien relou pour pas grand chose et impossible d'​être certain de ne pas avoir une modification suite à une installation d'un autre logiciel etc etc. 
 + 
 +<note important>​je n’apprécie pas ce type de comportement de la part des développeurs,​ pour la simple et bonne raison que si un fichier est modifié par l'​utilisateur on a plus le droit de le modifier sans son accord, particulièrement quand il s'agit de la configuration du système. car en cas de problème qui est responsable,​ la dernière valeur ou l'​utilisateur,​surtout que ça peut en plus venir, aux moment du renouvellement du bail de la box du FAI !</​note>​ 
 + 
 +Pour tester utiliser la commande: ​**dig** 
  
 Si vous êtes sur un O.S propriétaire il peux s'​avérer utile d'y effacer le cache dns sur un client windows on utilisera: ​ Si vous êtes sur un O.S propriétaire il peux s'​avérer utile d'y effacer le cache dns sur un client windows on utilisera: ​
Ligne 380: Ligne 437:
  
  
-A partir ​la cela devrai ​suffire pour une connexion filaire, ​+A partir ​de là cela devrait ​suffire pour une connexion filaire ​et être fonctionnel
  
  
Ligne 386: Ligne 443:
  
  
-===== a suivre le wifi =====+===== Le point d'​accès ​wifi ===== 
 + 
 +l'​installation est assez simple. 
 + 
 + 
 +<code root>​aptitude install hostapd</​code>​ 
 + 
 +fichier de configuration:​ **/​etc/​hostapd/​hostapd.conf** 
 + 
 +<code root> 
 +interface=wlx 
 + 
 +#​interface=wlan0 
 +driver=nl80211 
 +# Nom du spot Wi-Fi 
 +ssid=Rox 
 +country_code=Ch 
 +#​hw_mode=g 
 +channel=7 
 +macaddr_acl=0 
 +#wifi fermer = 1 ouver 0 
 +auth_algs=1 
 +ignore_broadcast_ssid=0 
 +wpa=2 
 +wpa_passphrase=15carracteconseillier:​D 
 +wpa_key_mgmt=WPA-PSK 
 +wpa_pairwise=TKIP 
 +wpa_group_rekey=86400 
 +ieee80211n=1 
 +# Beacon interval in kus (1.024 ms) 
 +beacon_int=100 
 +# mode Wi-Fi (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g) 
 +hw_mode=g 
 +wme_enabled=1 
 +# DTIM (delivery trafic information message) 
 +dtim_period=2 
 +# Maximum number of stations allowed in station table 
 +max_num_sta=10 
 +# Fragmentation threshold; 2346 = disabled (default) 
 +fragm_threshold=2346 
 +</​code>​ 
 + 
 + 
 +j'ai pas trouvé de documentation en français mais, il faut chercher a savoir 2 choses 
 +Si la carte/clé wifi est bien reconnue par le kernel. 
 +Le nom qui est retenu ou plutôt attribué à cette carte ici : **wlx** 
 + 
 +Note avec iptables je vous conseille de filtrer les adresse mac, c'est pas infaillible mais ça va laisser des traces dans les logs et de compliquer la tache du pirate. Dans le cas où la clef serait craquée.
  
 +vous devriez à ce stade avoir une machine qui sert donc de "​pc/​box"​ transportable n'​importe où, avec votre distribution
 +,un serveur dns,un point d'​accès wifi.
  
 +Je remercie tous ceux qui m'ont apporté de l'aide grâce au forum.:-O
atelier/chantier/une-box-maison.1550652385.txt.gz · Dernière modification: 20/02/2019 09:46 par LaFouine

Pied de page des forums

Propulsé par FluxBB