TP n°3 Routage Linux

Couche physique

Déterminez les cartes réseaux dont vous disposez sur votre machine avec les commandes scanpci ou lspci.
Déterminez au moyen de ethtool -i eth0 par exemple quels sont les modules qui contiennent les drivers de ces cartes. Vérifiez que ces modules sont bien chargés.

Rapport : précisez les informations que vous retournent les commandes que vous avez utilisées. Expliquez comment se fait le chargement des modules.

DHCP

Déterminez quelle est la configuration actuelle de vos interfaces réseaux avec la commande ifconfig.

La configuration des interfaces se fait au démarrage au moyen, entre autre, du fichier /etc/network/interfaces. Vérifiez que la configuration est bien faite via DHCP.

Visualisez les échanges réalisés par la configuration DHCP. Pour cela, vous utiliserez ethereal et vous lancerez dhcpcd-bin -n pour renouveler votre bail, dhcpcd-bin -k pour arrêter DHCP, et dhcpd-bin eth-bas pour configurer l'interface. Pourquoi faut il utiliser la machine voisine ou une autre de vos cartes pour visualiser les messages DCHP_DISCOVER et DHCP_OFFER.

Rapport : décrire quels sont les messages échangés par DHCP aux cours de ces différentes étapes. Quelles sont les options de configuration qui sont retournées pour le serveur DHCP et celles demandées par le client ?

Configuration réseau

Arrêtez l'interface eth0 : ifdown eth0.

Utilisez la commande ifrename pour renommer vos interfaces de telle sorte que l'interface du bas (eth0) s'appelle eth-bas et que celle du haut (eth1) s'appelle eth-haut. Pour cela, il vous faut écrire un fichier de configuration qui associe un nom à une adresse MAC (mot clef mac) ou à un nom de module (mot clef driver) et lancer le commande ifrename -c conf, où conf est le nom de votre fichier de configuration qui contient par exemple:

eth-bas mac 00:0F:1F:44:E2:3E

Modifiez maintenant fichier de configuration /etc/network/interfaces afin de prendre en compte le nouveau nom de l'interface et configurer votre interface statiquement plutôt que par DHCP (man interfaces)

Vérifiez que votre configuration est valide en utilisant les commandes ifdown et ifup pour reconfigurer votre interface.

Rapport : expliquez les différentes configurations que vous avez effectuées et en particulier les options du fichier interfaces.

Trouvez comment modifier l'adresse MAC en utilisant la commande ifconfig (man ifconfig) sachant que l'adresse est précisée après l'option hw ether et qu'il faut que l'interface soit inactive au moment du changement d'adresse.

Rapport : expliquez comment vous avez procédé.

Vérifiez au moyen de la commande ping que vous pouvez bien joindre les autres machines. Visualisez au moyen de la commande ethereal les paquets échangés.

Rapport : décrire ce que vous avez observé.

Visualisez la table d'association ARP au moyen de la commande arp -a. Tentez de visualiser un échange ARP, pour cela, vous pourrez supprimer une des entrées de la table (arp -d).

Rapport : décrire ce que vous avez observé.

Mettez-vous d'accord avec un de vos voisins pour réaliser un configuration statique ARP. Pour cela, faire en sorte que l'interface de votre voisin ne réponde plus aux requêtes ARP et n'en émette plus avec l'option -arp de la commande ifconfig (vérifiez c'est bien le cas). Ajoutez ensuite une entrée statique pour votre voisin dans votre table ARP et une entrée pour vous dans la sienne et vérifiez que vous arrivez maintenant à le joindre.

Rapport : décrire ce que vous avez réalisé.

Routage

Visualisez au moyen de la commande route -n la table de routage de votre machine.

Créez avec cinq de vos voisins un réseau reliant vos six machines sous la forme d'un anneau en utilisant vos deux interfaces comme dans la figure suivante :

Choisissez un plan d'adressage pour le réseau. Configurez vos interfaces directement au moyen de la commande ifconfig et le routage au moyen de la commande route de tel sorte que toutes les adresses de votre réseau soient toutes accessibles.

Pour configurer une interface au moyen de ifconfig on écrit par exemple:

ifconfig eth-bas 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255 up

Pour ajouter une route au moyen de route on écrit par exemple:

route add -net 192.167.2.0/24 gw 192.168.1.1
route add default gw 193.4.5.2

Pour que votre machine accepte de transmettre les datagrammes qui ne lui sont pas destinés (qu'elle route) modifiez son comportement au moyen de:

echo 1 > /proc/sys/net/ipv4/ip_forward
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
   echo 0 > $i
done

Pour tester votre réseau vous utiliserez ping et ethereal

Rapport : décrire ce que vous avez réalisé. Expliquer à quoi correspondent les deux commandes echo

Déterminez le TTL utilisé par défaut par Linux. Le modifier dans le pseudo-fichier /proc/sys/net/ipv4/ip_default_ttl.

Testez le comportement de la commande traceroute.

Rapport : décrire comment marche la commande traceroute.

Filtrage

Tous les datagrammes qui transitent par votre machine traversent un ensemble de tables (file d'attentes) qui sont gérées via la commande iptables. Chacune de ces files contient un ensemble de chaînes qui réalisent un ensemble de filtrages/transformations et s'appliquent à un type particulier de datagrammes. Il y a en tout trois files :

mangle qui se charge de changer la qualité de service des datagrammes et que nous n'utiliserons pas aujourd'hui
filter qui se charge du filtrage des datagrammes. Il y trois chaînes de filtrage dans cette file :
1. FORWARD qui filtre les datagrammes qui transitent par la machine;
2. INPUT qui filtre les datagrammes à destination de la machine;
3. OUTPUT qui filtre les datagrammes qui ont pour source la machine;
nat qui se charge de la translation d'adresse. Cette file a trois chaînes:
1. PREROUTING qui est utilisée lorsque l'adresse destination du datagramme doit être changée;
2. POSTROUTING qui est utilisée lorsque l'adresse source du paquet doit être changée.
3. OUTPUT même chose que PREROUTING mais pour les paquets générés localement.

Pour réaliser le filtrage, des règles iptables sont associées à chaque chaînes. Chaque règle, s'applique les unes après les autres et filtre un type particulier de datagramme, en fonction du protocole, du port source ou destination, de l'adresse source et destination, de l'interface réseau d'entrée ou de sortie, etc.. Elle leur associe une cible. Parmi celles-ci on trouve les cibles prédéfinies suivantes :

ACCEPT qui accepte le datagramme. Les autres règles ne sont pas appliquées ;
DROPqui refuse le datagramme. Les autres règles ne sont pas appliquées ;
REJECTqui refuse le datagramme comme DROP, mais qui permet de préciser un paquet ICMP à retourner avec l'option --reject-with (man iptables) ;
SNAT pour modifier l'adresse source dans une règle nat avec l'option --to-source
DNAT pour modifier l'adresse destination avec l'option --to-destination

Par exemple commande suivante ajoute (-A) une règle qui indique qu'il faut accepter l'entrée (INPUT) des segments TCP provenant de n'importe quelle source (0/0) arrivant sur l'interface eth0 et à destination de l'adresse 192.168.1.1.

iptables -A INPUT -p TCP -s 0/0 -i eth0 -d 192.168.1.1 -j ACCEPT

Les actions principales de la commande iptables sont les suivantes :

iptables [-t table] -L pour afficher l'état courant des filtres ;
iptables [-t table] -A chaîne règle ajoute une règle à la chaîne ;
iptables [-t table] -D chaîne règle ou iptables -D chaîne numéro-de-règle supprime une règle particulière de la chaîne ;
ipchains [-t table ] -P chaîne règle pour définir la politique par défaut. Par exemple : ipchains -P INPUT DENY ;
iptables [-t table] -F pour supprimer toutes les règles (sauf les règles par défaut). Par exemple : iptables -t nat -F.

Les options principales pour le filtrage sont :

-p précise le protocole (tcp, udp, icmp ou all) ;
-s précise l'adresse source ;
-d précise l'adresse destination ;
-i précise l'interface d'entrée ;
-o précise l'interface de sortie ;
--sport précise le port source pour udp et tcp ;
--dport précise le port source pour udp et tcp ;
-m state --state ESTABLISHED, RELATED précise qu'il doit s'agir de datagramme pour une comunication établie ou reliée à une communication établie comme dans le cas de FTP.
-m state --state NEW précise qu'il doit s'agir de datagramme pour une nouvelle comunication.

Le préfixe ! devant une option indique « tout sauf ». Par exemple, -s ! 192.25.34.5 indique toutes les adresses sauf 192.25.34.5.

On souhaite réaliser avec deux de vos voisins le réseau de la figure suivante :

Définissez un plan d'adressage et faire en sorte que votre machine intermédiaire ne réponde plus aux requêtes ICMP si elles proviennent du réseau extérieur. Vérifiez que vous pouvez encore le faire en sens inverse.

Rapport : décrire ce que vous avez réalisé.

Réalisez une configuration par défaut qui rejette tous les flux FORWARD sur votre machine intermédiaire (iptables -P ...).

Vérifiez que plus rien ne passe.

Ajoutez une règle sur le firewall permettant de faire de la translation d'adresse (SNAT) entre l'Intranet et l'Internet, et ajouter les règles FORWARD qui permettent de faire transiter les flux sortant vers l'Intranet et n'autorisant que les flux établis provenant de l'Internet.

Rapport : décrire ce que vous avez réalisé.

Sur la machine de votre Intranet, ajoutez le service chargen en décommentant la ligne correspondant à ce service dans le fichier /etc/inetd.conf et en relançant le daemon inetd au moyen de /etc/init.d/inetd restart (vérifiez également qu'il n'est pas présent sur la machine intermédiaire). Ajoutez une règle de translation (DNAT) d'adresse en entrée qui permette d'accéder à votre service depuis l'Internet comme s'il était sur votre machine intermédiaire ainsi que la règle FORWARD lui permettant de transiter par la machine intermédiaire.

Rapport : décrire ce que vous avez réalisé et à quoi sert le daemon inetd.