DS système du 6 décembre 2007

19 DS système du 6 décembre 2007

Durée de l'examen : 2h00. Tous documents autorisés.

19.0.54 Scénario réseau

Le thème de cet exercice est le partage d'une liaison ADSL par les occupants d'une résidence universitaire. Les résidents font leurs études dans une école d'ingénieurs publique qui n'a plus les moyens de leur payer une connexion Internet (mettons que le scénario se passe dans les années 2010). Les résidents décident de se cotiser pour louer une connexion ADSL. La connexion est liée à l'une des chambres de la résidence et le modem ADSL se trouve dans cette chambre. Le modem est aussi relié via la prise réseau de la chambre au PC faisant office de routeur qui se trouve dans le local technique de la résidence. Ce PC dispose en fait de 4 interfaces réseau.

L'interface LAN0 est connectée au modem ADSL via la distribution du bâtiment. Le réseau IP utilisé sur cette interface est 192.168.0.0/24.
L'interface LAN1 est connectée au nuage de commutateurs deservant les chambres de la résidence. Sur ce nuage sont implantés deux VLANs : un pour les cotisants (le VLAN2) et un pour les non cotisants (le VLAN3). Le VLAN des cotisants utilise le réseau IP 192.168.10.0/24 et celui des non-cotisants utilise le réseau IP 192.168.11.0/24.
L'interface LAN2 est relié au réseau de la résidence d'une école privée mitoyenne. Non pas que l'école privée souhaite offrir un accès réseau à des sous-développés mais à titre charitable pour pouvoir participer aux jeux en réseau organisés dans la résidence de l'école privée. Le réseau IP correspondant est imposé par la résidence mitoyenne : 172.17.44.0/24.
Enfin l'interface WLAN0 offre un accès wifi très limité autour du local technique (en particulier pour la chambre d'accès ADSL dont la prise filaire est squattée par le modem ADSL). Il n'y a pas de réseau IP spécifique prévu pour cette interface.

La liste des interfaces sur le PC routeur est donnée ci-dessous.

1: lan0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
    inet 192.168.0.1/24 brd 192.168.0.255 scope global lan0
2: lan1: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
3: lan2: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
    inet 172.17.44.129/24 brd 172.17.44.255 scope global lan2
4:vlan2: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
5:vlan3: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
    inet 192.168.11.1/24 brd 192.168.11.255 scope global vlan3
6:wlan0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
7:  br0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
    inet 192.168.10.1/24 brd 192.168.10.255 scope global vlan2
8:   lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    inet 127.0.0.1/8 scope host lo

Sans surprise le PC est sous Debian. On donne le fichier de définition des interfaces.

auto lan0 lan1 lan2
iface lan0 inet static
  address 192.168.0.1
  netmask 255.255.255.0
  gateway 192.168.0.254
iface lan1 inet manual
  up ifconfig lan1 up
iface lan2 inet static
  address 172.17.44.129
  netmask 255.255.255.0
auto vlan2 vlan3
iface vlan2 inet manual 
  vlan-raw-device lan1
  up ifconfig vlan2 up
iface vlan3 inet static
  vlan-raw-device lan1
  address 192.168.11.1
  netmask 255.255.255.0
auto wlan0
iface wlan0 inet manual
  wireless-mode master
  wireless-channel 10
  wireless-essid ELBARIO
  wireless-key 1234-1234-1234-1234-1234-1234-12
auto br0
iface brO inet static
  bridge-ports wlan0 vlan2
  address 192.168.10.1
  netmask 255.255.255.0

Partager une liaison ADSL pour un immeuble entier demande de mettre en place quelques restrictions. Ces restrictions sont définies au lancement du système par le fichier ci-dessous.

iptables -P FORWARD DROP
iptables -A FORWARD -i lan0 -j ACCEPT
iptables -A FORWARD -o lan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lan2 -o br0 -j ACCEPT
iptables -A FORWARD -i lan2 -o vlan3 -j ACCEPT
iptables -A FORWARD -i br0 -o lan2 -j ACCEPT
iptables -A FORWARD -i vlan3 -o lan2 -j ACCEPT
iptables -A FORWARD -i br0 -o vlan3 -j ACCEPT
iptables -A FORWARD -i vlan3 -o br0 -j ACCEPT
iptables -A FORWARD -i br0 -o lan0 -p tcp -m tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -d pop.polytech-lille.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d pop.free.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d pop3.orange.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d mail.polytech-lille.fr -i br0 -o lan0 -p tcp -m tcp --dport 2525 -j ACCEPT
iptables -A POSTROUTING -d pop.polytech-lille.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 \
         -j MASQUERADE
iptables -A POSTROUTING -d pop.free.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j MASQUERADE
iptables -A POSTROUTING -d pop3.orange.fr -i br0 -o lan0 -p tcp -m tcp --dport 110 -j MASQUERADE
iptables -A POSTROUTING -d mail.polytech-lille.fr -i br0 -o lan0 -p tcp -m tcp --dport 2525 \
         -j MASQUERADE

Répondez aux questions suivantes en vous appuyant sur les documents ci-dessus et en justifiant vos réponses.

Quand une machine connectée sur le réseau sans fil ELBARIO contacte une machine du VLAN vlan2 quel rôle réseau le PC routeur joue-t-il ?
Pouvez-vous intuiter les informations IP données par le serveur DHCP hébergé sur le PC routeur aux machines des résidents ?
Pour que le PC routeur puisse fonctionner, quelle valeur le drapeau système /proc/sys/net/ipv4/ip_forward doit-il avoir ?
Les machines de la résidence mitoyenne peuvent-il utiliser le PC routeur pour sortir sur la liaison ADSL des élèves nécessiteux ?
A quelles machines, les élèves ne participant pas à la location de la liaison ADSL, peuvent-ils accéder ?
Quels indices laissent présager de la présence d'un serveur proxy web sur le PC routeur ? A quelle adresse IP ce serveur proxy est-il lié (au sens du bind de la bibliothèque des sockets) ?
Les élèves participant à la location de la liaison ADSL peuvent-il accéder directement aux sites web d'Internet ? Sinon comment peuvent-ils surfer ?
Un élève participant à la location de la liaison ADSL peut-il relever sa boite de courriers electroniques ?
Expliquez comment un paquet IP partant du VLAN vlan2 et autorisé à se propager sur Internet est modifié et par quels éléments réseaux la modification est effectuée.

19.0.55 Scénario système

Ce scénario tourne autour de la mise en place d'un service de proxy web. La machine audomarois a été installée avec une Debian/Linux. Les services sont installés sur la machine, en particulier le serveur proxy web squid. Le serveur squid réalise aussi une fonction de cache; les pages web statiques sont stockées dans le répertoire /var/squid/cache pour être reservies plus tard à la demande. Lors de la configuration initiale de la machine seul un disque a été utilisé.

Voici la liste des partitions des disques :

audomarois:~# fdisk -l
Disk /dev/sda: 36.4 GB, 36401479680 bytes
144 heads, 6 sectors/track, 82287 cylinders
Units = cylinders of 864 * 512 = 442368 bytes
Disk identifier: 0x074dff4e

Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1       11304     4883325   83  Linux
/dev/sda2           11305       15826     1953504   82  Linux swap / Solaris
/dev/sda3           15827       61038    19531584   83  Linux
/dev/sda4           61039       82287     9179568    5  Extended
/dev/sda5           61039       72342     4883325   83  Linux
/dev/sda6           72343       82287     4296237   83  Linux

Disk /dev/sdb: 36.4 GB, 36401479680 bytes
255 heads, 63 sectors/track, 4425 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00000000

Disk /dev/sdb doesn't contain a valid partition table

Disk /dev/sdc: 36.4 GB, 36401479680 bytes
255 heads, 63 sectors/track, 4425 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00000000

Disk /dev/sdc doesn't contain a valid partition table

Voici la liste des systèmes de fichiers montés :

audomarois:~# mount
/dev/sda1 on / type reiserfs (rw)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
procbususb on /proc/bus/usb type usbfs (rw)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
/dev/sda3 on /var type reiserfs (rw)
/dev/sda5 on /tmp type reiserfs (rw)
/dev/sda6 on /var/squid/cache type reiserfs (rw)

Maintenant que le système tourne nous allons faire en sorte de donner plus de place disque au cache de squid. Procédez suivant les étapes ci-dessous.

Donnez la taille maximale du cache de squid dans la configuration courante.
Réalisez un groupe de volumes avec les deux disques restant (donnez les commandes nécessaires).
Créez maintenant une partition virtuelle prenant la totalité de l'espace disponible dans le groupe de volumes.
Donnez la commande pour arrêter le serveur squid.
Donnez les commandes pour transférer les anciens fichiers présents dans le répertoire du cache de squid sur la nouvelle partition (installez un système de fichier ext3 sur cette partition).
Dans quel fichier faut-il opérer un changement pour que ce soit la partition LVM qui soit utilisée pour le cache plutôt que la partition /dev/sda6 ? Donnez la nouvelle ligne.
Que faut-il faire maintenant ?
La société Mc Donald vient de faire don d'un disque de 200Go en échange de l'affichage d'une publicité sur le Mc DéGeuh eXtrem en fond d'écran des machines de TP. Nous souhaitons remplacer un des deux disques de 36.4Go par ce nouveau disque, donnez la marche à suivre.
On souhaite utiliser l'espace supplémentaire sur le nouveau disque pour l'ajouter au système de fichier du cache de squid. Comment procéder ?