11 DS réseau du 15 novembre 2004
Examen d'une durée de deux heures avec tous les documents autorisés
(y compris ordinateurs).
11.0.31 Visite guidée de l'Artois
Le fil rouge de cet examen consiste en l'analyse de la configuration
réseau de la machine artois de Polytech'Lille.
11.0.32 Les interfaces réseau
On donne, tout d'abord, le contenu de quelques fichiers relatifs
à la configuration réseau de la machine Artois :
-
Fichier des VLANs de Polytech'Lille :
-
Nom:Numéro:Réseau IP
...
SERVERS:2:193.48.57.32/255.255.255.224
STUDENTS:4:172.26.16.0/255.255.240.0
...
- Fichier /etc/network/interfaces :
-
auto lo vlan2 vlan4
iface lo inet loopback
iface vlan2 inet dhcp
vlan-raw-device eth0
iface vlan4 inet dhcp
vlan-raw-device eth0
- Fichier /etc/pump.conf :
-
device vlan4 {
nodns
nogateway
}
Veuillez, ensuite, répondre aux questions en rapport
avec ces fichiers :
-
Le fichier interfaces peut être utilisé pour créer
automatiquement des sous-interfaces dans des VLANs donnés. Il
suffit de définir des interfaces de nom vlanxx avec
xx donnant le numéro de VLAN et de spécifier l'interface
de base avec le mot clef vlan-raw-device. Donnez les
commandes nécessaires pour effectuer "à la main" la création
des interfaces définies dans le fichier interfaces donné
ci-dessus.
- La machine Artois est connectée sur un commutateur Cisco.
Au vu des fichiers ci-dessus vous êtes en mesure de donner la
configuration de l'interface GigabitEthernet0/4 sur laquelle
se trouve Artois.
- De combien d'interfaces réseau physiques dispose Artois ?
- Quelles sont les interfaces d'Artois qui obtiendront
une adresse IP au démarrage de la machine ? donnez ces adresses
IP exactement ou une fourchette dans laquelle elles doivent
se trouver.
- Donnez le masque réseau, le numéro de réseau et l'adresse
de diffusion pour toutes les interfaces configurées automatiquement.
- Sachant que pump est un client DHCP intuitez la
signification du contenu du fichier pump.conf ci-dessus
et donnez sa raison d'être.
11.0.33 La table de routage
On donne, tout d'abord, le contenu du fichier /etc/network/options :
ip_forward=yes
spoofprotect=no
syncookies=no
Répondez, ensuite, à ces quelques questions au sujet du routage :
-
Pouvez-vous dire si le routage des paquets IP
entre les interfaces réseau de la machine Artois est
activé ?
- Donnez la table de routage de la machine Artois
au vu du fichier interfaces de la section précédente.
- Donnez la signification de la seconde ligne du
fichier options ci-dessus. Expliquez ce qui se passe
si l'on passe l'option à yes et qu'un utilisateur sur
le VLAN STUDENTS tente d'utiliser le proxy
proxy.polytech-lille.fr dans son navigateur.
- Expliquez quel type de déni de service la troisième
option du fichier options pourrait éviter. Décrivez
le fonctionnement du déni de service, décrivez rapidement
le principe de la parade.
11.0.34 Les fonctions de mandataire
On donne, tout d'abord, le résultat de quelques commandes relatives
à la configuration des iptables sur Artois :
-
Commande iptables -L -t filter :
-
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
- Commande iptables -L -t nat :
-
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere artois.escaut.net tcp dpt:2121 to:172.26.16.4:21
DNAT tcp -- anywhere artois.escaut.net tcp dpt:2222 to:172.26.16.4:22
DNAT tcp -- anywhere artois.escaut.net tcp dpt:2323 to:172.26.16.4:23
DNAT tcp -- anywhere artois.escaut.net tcp dpts:50100:50110 to:172.26.16.4
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- hainaut.studserv.deule.net anywhere
MASQUERADE tcp -- net-students.deule.net/20 anywhere tcp dpt:ftp
MASQUERADE tcp -- net-students.deule.net/20 anywhere tcp dpt:pop3
MASQUERADE tcp -- net-students.deule.net/20 anywhere tcp dpt:nntp
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Répondez, ensuite, aux questions suivantes :
-
La machine Artois fait-elle du filtrage de paquets ?
- Quel service la machine Artois offre-t-elle à la machine Hainaut ?
- Est-il possible, pour les machines d'enseignement, d'accéder à certains
services Internet malgré la barrière due à leurs adresses IP non routées ?
- Expliquez le fonctionnement de la règle concernant le port ssh (port 22)
dans la table nat. Décrivez le service rendu pour un non-informaticien.
- Artois est configuré pour rediriger des connexions FTP sur Weppes.
Indiquez la règle implantant cette redirection et la façon dont un
utilisateur extérieur au campus de Lille 1 doit s'y prendre pour faire
des transferts FTP de ou vers Weppes.
- Cette simple règle ne suffit pas vu la complexité du protocole
FTP (une connexion TCP pour les commandes et une pour chaque transfert
de données). Un module dans le noyau d'Artois ip_nat_ftp est chargé
d'analyser le contenu des paquets FTP redirigés. Dites ce que ce module
doit faire pour autoriser les transferts en mode actif. L'extrait de
session ci-après peut vous donner quelques indices :
artois# conntrack-viewer.pl -m
Active MASQUERADED Connections according to /proc/net/ip_conntrack
Proto Source Address Remote Address Service State
tcp 172.26.16.4:20 192.94.73.35:52187 ftp-data TIME_WAIT
weppes.studserv.deule.net > sdf-eu.org
tcp 172.26.16.4:20 192.94.73.35:52181 ftp-data ESTABLISHED
weppes.studserv.deule.net > sdf-eu.org
- Le module de la question précédente n'est pas utilisé pour
autoriser les transfert FTP en mode passif. Dites quelle règle
permet de les autoriser et à quoi sert cet extrait du fichier de
configuration du serveur FTP de Weppes :
# This host is behind a firewall
passive address 172.26.16.4 193.48.57.32/27
passive address 172.26.16.4 193.48.64.0/24
passive address 172.26.16.4 172.26.32.0/20
passive address 193.48.57.37 0.0.0.0/0
passive ports 193.48.57.32/27 1024 50000
passive ports 193.48.64.0/24 1024 50000
passive ports 172.26.32.0/20 1024 50000
passive ports 0.0.0.0/0 50100 50110