19 DS système du 6 décembre 2007
Durée de l'examen : 2h00. Tous documents autorisés.
19.0.54 Scénario réseau
Le thème de cet exercice est le partage d'une liaison ADSL par les occupants d'une résidence
universitaire. Les résidents font leurs études dans une école d'ingénieurs publique qui n'a
plus les moyens de leur payer une connexion Internet (mettons que le scénario se passe dans
les années 2010). Les résidents décident de se cotiser pour louer une connexion ADSL. La
connexion est liée à l'une des chambres de la résidence et le modem ADSL se trouve dans
cette chambre. Le modem est aussi relié via la prise réseau de la chambre au PC faisant
office de routeur qui se trouve dans le local technique de la résidence. Ce PC dispose
en fait de 4 interfaces réseau.
-
L'interface LAN0 est connectée au modem ADSL via la distribution du bâtiment.
Le réseau IP utilisé sur cette interface est 192.168.0.0/24.
- L'interface LAN1 est connectée au nuage de commutateurs deservant les
chambres de la résidence. Sur ce nuage sont implantés deux VLANs : un pour les cotisants
(le VLAN2) et un pour les non cotisants (le VLAN3). Le VLAN des cotisants
utilise le réseau IP 192.168.10.0/24 et celui des non-cotisants utilise le réseau
IP 192.168.11.0/24.
- L'interface LAN2 est relié au réseau de la résidence d'une école privée
mitoyenne. Non pas que l'école privée souhaite offrir un accès réseau à des sous-développés
mais à titre charitable pour pouvoir participer aux jeux en réseau organisés dans la résidence
de l'école privée. Le réseau IP correspondant est imposé par la résidence mitoyenne :
172.17.44.0/24.
- Enfin l'interface WLAN0 offre un accès wifi très limité autour du local technique
(en particulier pour la chambre d'accès ADSL dont la prise filaire est squattée par le
modem ADSL). Il n'y a pas de réseau IP spécifique prévu pour cette interface.
La liste des interfaces sur le PC routeur est donnée ci-dessous.
1: lan0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
inet 192.168.0.1/24 brd 192.168.0.255 scope global lan0
2: lan1: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
3: lan2: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
inet 172.17.44.129/24 brd 172.17.44.255 scope global lan2
4:vlan2: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
5:vlan3: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
inet 192.168.11.1/24 brd 192.168.11.255 scope global vlan3
6:wlan0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
7: br0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
inet 192.168.10.1/24 brd 192.168.10.255 scope global vlan2
8: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
inet 127.0.0.1/8 scope host lo
Sans surprise le PC est sous Debian. On donne le fichier de définition des
interfaces.
auto lan0 lan1 lan2
iface lan0 inet static
address 192.168.0.1
netmask 255.255.255.0
gateway 192.168.0.254
iface lan1 inet manual
up ifconfig lan1 up
iface lan2 inet static
address 172.17.44.129
netmask 255.255.255.0
auto vlan2 vlan3
iface vlan2 inet manual
vlan-raw-device lan1
up ifconfig vlan2 up
iface vlan3 inet static
vlan-raw-device lan1
address 192.168.11.1
netmask 255.255.255.0
auto wlan0
iface wlan0 inet manual
wireless-mode master
wireless-channel 10
wireless-essid ELBARIO
wireless-key 1234-1234-1234-1234-1234-1234-12
auto br0
iface brO inet static
bridge-ports wlan0 vlan2
address 192.168.10.1
netmask 255.255.255.0
Partager une liaison ADSL pour un immeuble entier demande de mettre en place quelques
restrictions. Ces restrictions sont définies au lancement du système par le fichier
ci-dessous.
iptables -P FORWARD DROP
iptables -A FORWARD -i lan0 -j ACCEPT
iptables -A FORWARD -o lan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lan2 -o br0 -j ACCEPT
iptables -A FORWARD -i lan2 -o vlan3 -j ACCEPT
iptables -A FORWARD -i br0 -o lan2 -j ACCEPT
iptables -A FORWARD -i vlan3 -o lan2 -j ACCEPT
iptables -A FORWARD -i br0 -o vlan3 -j ACCEPT
iptables -A FORWARD -i vlan3 -o br0 -j ACCEPT
iptables -A FORWARD -i br0 -o lan0 -p tcp -m tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -d pop.polytech-lille.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d pop.free.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d pop3.orange.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d mail.polytech-lille.fr -i br0 -o lan0 -p tcp -m tcp --dport 2525 -j ACCEPT
iptables -A POSTROUTING -d pop.polytech-lille.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 \
-j MASQUERADE
iptables -A POSTROUTING -d pop.free.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j MASQUERADE
iptables -A POSTROUTING -d pop3.orange.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j MASQUERADE
iptables -A POSTROUTING -d mail.polytech-lille.fr -i br0 -o lan0 -p tcp -m tcp --dport 2525 \
-j MASQUERADE
Répondez aux questions suivantes en vous appuyant sur les documents ci-dessus et en justifiant vos
réponses.
-
Quand une machine connectée sur le réseau sans fil ELBARIO contacte
une machine du VLAN vlan2 quel rôle réseau le PC routeur joue-t-il ?
- Pouvez-vous intuiter les informations IP données par le serveur DHCP hébergé sur le
PC routeur aux machines des résidents ?
- Pour que le PC routeur puisse fonctionner, quelle valeur le drapeau
système /proc/sys/net/ipv4/ip_forward doit-il avoir ?
- Les machines de la résidence mitoyenne peuvent-il utiliser le PC
routeur pour sortir sur la liaison ADSL des élèves nécessiteux ?
- A quelles machines, les élèves ne participant pas à la location de la liaison
ADSL, peuvent-ils accéder ?
- Quels indices laissent présager de la présence d'un serveur proxy web
sur le PC routeur ? A quelle adresse IP ce serveur proxy est-il lié (au sens du
bind de la bibliothèque des sockets) ?
- Les élèves participant à la location de la liaison ADSL peuvent-il accéder
directement aux sites web d'Internet ? Sinon comment peuvent-ils surfer ?
- Un élève participant à la location de la liaison ADSL peut-il relever
sa boite de courriers electroniques ?
- Expliquez comment un paquet IP partant du VLAN vlan2 et autorisé
à se propager sur Internet est modifié et par quels éléments réseaux la modification
est effectuée.
19.0.55 Scénario système
Ce scénario tourne autour de la mise en place d'un service de proxy web.
La machine audomarois a été installée avec une Debian/Linux. Les
services sont installés sur la machine, en particulier le serveur proxy
web squid. Le serveur squid réalise aussi une fonction de cache;
les pages web statiques sont stockées dans le répertoire
/var/squid/cache pour être reservies plus tard à la demande.
Lors de la configuration initiale de la machine seul un disque
a été utilisé.
Voici la liste des partitions des disques :
audomarois:~# fdisk -l
Disk /dev/sda: 36.4 GB, 36401479680 bytes
144 heads, 6 sectors/track, 82287 cylinders
Units = cylinders of 864 * 512 = 442368 bytes
Disk identifier: 0x074dff4e
Device Boot Start End Blocks Id System
/dev/sda1 1 11304 4883325 83 Linux
/dev/sda2 11305 15826 1953504 82 Linux swap / Solaris
/dev/sda3 15827 61038 19531584 83 Linux
/dev/sda4 61039 82287 9179568 5 Extended
/dev/sda5 61039 72342 4883325 83 Linux
/dev/sda6 72343 82287 4296237 83 Linux
Disk /dev/sdb: 36.4 GB, 36401479680 bytes
255 heads, 63 sectors/track, 4425 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00000000
Disk /dev/sdb doesn't contain a valid partition table
Disk /dev/sdc: 36.4 GB, 36401479680 bytes
255 heads, 63 sectors/track, 4425 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00000000
Disk /dev/sdc doesn't contain a valid partition table
Voici la liste des systèmes de fichiers montés :
audomarois:~# mount
/dev/sda1 on / type reiserfs (rw)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
procbususb on /proc/bus/usb type usbfs (rw)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
/dev/sda3 on /var type reiserfs (rw)
/dev/sda5 on /tmp type reiserfs (rw)
/dev/sda6 on /var/squid/cache type reiserfs (rw)
Maintenant que le système tourne nous allons faire en sorte de donner
plus de place disque au cache de squid. Procédez suivant
les étapes ci-dessous.
-
Donnez la taille maximale du cache de squid dans la configuration
courante.
- Réalisez un groupe de volumes avec les deux disques restant (donnez
les commandes nécessaires).
- Créez maintenant une partition virtuelle prenant la totalité de
l'espace disponible dans le groupe de volumes.
- Donnez la commande pour arrêter le serveur squid.
- Donnez les commandes pour transférer les anciens fichiers présents
dans le répertoire du cache de squid sur la nouvelle partition
(installez un système de fichier ext3 sur cette partition).
- Dans quel fichier faut-il opérer un changement pour que ce soit
la partition LVM qui soit utilisée pour le cache plutôt que la
partition /dev/sda6 ? Donnez la nouvelle ligne.
- Que faut-il faire maintenant ?
- La société Mc Donald vient de faire don d'un disque de 200Go en échange
de l'affichage d'une publicité sur le Mc DéGeuh eXtrem en fond d'écran
des machines de TP. Nous souhaitons remplacer un des deux disques de 36.4Go
par ce nouveau disque, donnez la marche à suivre.
- On souhaite utiliser l'espace supplémentaire sur le nouveau disque pour
l'ajouter au système de fichier du cache de squid. Comment procéder ?