11   DS réseau du 15 novembre 2004

11.0.31   Visite guidée de l'Artois

11.0.32   Les interfaces réseau

Fichier des VLANs de Polytech'Lille :

 

Nom:Numéro:Réseau IP
...
SERVERS:2:193.48.57.32/255.255.255.224
STUDENTS:4:172.26.16.0/255.255.240.0
...

 

Fichier /etc/network/interfaces :

 

auto lo vlan2 vlan4
iface lo inet loopback
iface vlan2 inet dhcp
  vlan-raw-device eth0
iface vlan4 inet dhcp
  vlan-raw-device eth0

 

Fichier /etc/pump.conf :

 

device vlan4 {
  nodns
  nogateway
}

 

1. Le fichier interfaces peut être utilisé pour créer automatiquement des sous-interfaces dans des VLANs donnés. Il suffit de définir des interfaces de nom vlanxx avec xx donnant le numéro de VLAN et de spécifier l'interface de base avec le mot clef vlan-raw-device. Donnez les commandes nécessaires pour effectuer "à la main" la création des interfaces définies dans le fichier interfaces donné ci-dessus.
2. La machine Artois est connectée sur un commutateur Cisco. Au vu des fichiers ci-dessus vous êtes en mesure de donner la configuration de l'interface GigabitEthernet0/4 sur laquelle se trouve Artois.
3. De combien d'interfaces réseau physiques dispose Artois ?
4. Quelles sont les interfaces d'Artois qui obtiendront une adresse IP au démarrage de la machine ? donnez ces adresses IP exactement ou une fourchette dans laquelle elles doivent se trouver.
5. Donnez le masque réseau, le numéro de réseau et l'adresse de diffusion pour toutes les interfaces configurées automatiquement.
6. Sachant que pump est un client DHCP intuitez la signification du contenu du fichier pump.conf ci-dessus et donnez sa raison d'être.

11.0.33   La table de routage

ip_forward=yes
spoofprotect=no
syncookies=no

1. Pouvez-vous dire si le routage des paquets IP entre les interfaces réseau de la machine Artois est activé ?
2. Donnez la table de routage de la machine Artois au vu du fichier interfaces de la section précédente.
3. Donnez la signification de la seconde ligne du fichier options ci-dessus. Expliquez ce qui se passe si l'on passe l'option à yes et qu'un utilisateur sur le VLAN STUDENTS tente d'utiliser le proxy proxy.polytech-lille.fr dans son navigateur.
4. Expliquez quel type de déni de service la troisième option du fichier options pourrait éviter. Décrivez le fonctionnement du déni de service, décrivez rapidement le principe de la parade.

11.0.34   Les fonctions de mandataire

Commande iptables -L -t filter :

 

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

Commande iptables -L -t nat :

 

Chain PREROUTING (policy ACCEPT)
target prot opt source    destination
DNAT   tcp  --  anywhere  artois.escaut.net tcp dpt:2121 to:172.26.16.4:21
DNAT   tcp  --  anywhere  artois.escaut.net tcp dpt:2222 to:172.26.16.4:22
DNAT   tcp  --  anywhere  artois.escaut.net tcp dpt:2323 to:172.26.16.4:23
DNAT   tcp  --  anywhere  artois.escaut.net tcp dpts:50100:50110 to:172.26.16.4

Chain POSTROUTING (policy ACCEPT)
target     prot opt source                     destination
MASQUERADE all  --  hainaut.studserv.deule.net anywhere
MASQUERADE tcp  --  net-students.deule.net/20  anywhere tcp dpt:ftp
MASQUERADE tcp  --  net-students.deule.net/20  anywhere tcp dpt:pop3
MASQUERADE tcp  --  net-students.deule.net/20  anywhere tcp dpt:nntp

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

1. La machine Artois fait-elle du filtrage de paquets ?
2. Quel service la machine Artois offre-t-elle à la machine Hainaut ?
3. Est-il possible, pour les machines d'enseignement, d'accéder à certains services Internet malgré la barrière due à leurs adresses IP non routées ?
4. Expliquez le fonctionnement de la règle concernant le port ssh (port 22) dans la table nat. Décrivez le service rendu pour un non-informaticien.
5. Artois est configuré pour rediriger des connexions FTP sur Weppes. Indiquez la règle implantant cette redirection et la façon dont un utilisateur extérieur au campus de Lille 1 doit s'y prendre pour faire des transferts FTP de ou vers Weppes.
6. Cette simple règle ne suffit pas vu la complexité du protocole FTP (une connexion TCP pour les commandes et une pour chaque transfert de données). Un module dans le noyau d'Artois ip_nat_ftp est chargé d'analyser le contenu des paquets FTP redirigés. Dites ce que ce module doit faire pour autoriser les transferts en mode actif. L'extrait de session ci-après peut vous donner quelques indices :

   artois# conntrack-viewer.pl -m
   Active MASQUERADED Connections according to /proc/net/ip_conntrack
   Proto Source Address Remote Address      Service  State    
   tcp   172.26.16.4:20 192.94.73.35:52187  ftp-data TIME_WAIT
         weppes.studserv.deule.net > sdf-eu.org
   tcp   172.26.16.4:20 192.94.73.35:52181  ftp-data ESTABLISHED
         weppes.studserv.deule.net > sdf-eu.org
   

7. Le module de la question précédente n'est pas utilisé pour autoriser les transfert FTP en mode passif. Dites quelle règle permet de les autoriser et à quoi sert cet extrait du fichier de configuration du serveur FTP de Weppes :

   # This host is behind a firewall
   passive address 172.26.16.4 193.48.57.32/27
   passive address 172.26.16.4 193.48.64.0/24
   passive address 172.26.16.4 172.26.32.0/20
   passive address 193.48.57.37 0.0.0.0/0
   passive ports 193.48.57.32/27 1024 50000
   passive ports 193.48.64.0/24 1024 50000
   passive ports 172.26.32.0/20 1024 50000
   passive ports 0.0.0.0/0 50100 50110