Admin6

IT, Réseau, Geek, Datacenter …

Messages étiquettés Linux

Règles de routage simple pour iptables

mar 1

Publié par minimoi dans Linux | Aucun commentaire

Un petit billet dédié pour mon ami foireatout qui aurait besoin de connaître quelques commandes afin d’implémenter des règles pour bien débuter dans ce monde :) Les règle ci-dessous sont très loin d’exploiter toute la puissance de netfilter ;)

Pour faire court, iptables est un logiciel libre qui va permettre de gérer le framework netfilter qui implémente un pare-feu (à partir du noyau 2.4).

Pour notre exemple, notre machine est frontale et possède deux interfaces réseau : WAN (eth0) et LAN (eth1)

Sur l’interface WAN (eth0) plusieurs adresses IP publiques sont directement reliées : (volontairement fausses hein ;) …23.780, 23.782… ca n’existe pas )

eth0 => 91.56.23.780

eth0:0 => 91.56.23.782

eth0:1 => 91.56.23.783

eth0:2 => 91.56.23.784

L’adresse de notre interface LAN eth1 est 192.168.1.254 et notre réseau 192.168.1.0/24

Parmi les machines qui sont sur le LAN nous avons :

machine utilisation adresse ip ip publique à utiliser redirection de ports nat d’adresse ip
www serveur web 192.168.1.10 91.56.23.784 - 91.56.23.784
asterisk serveur sip 192.168.1.11 91.56.23.782 UDP : 10000-20000,5060 -
srvtse serveur TSE 192.168.1.12 91.56.23.780 TCP : 3389 -
srvmail Serveur mail 192.168.1.13 91.56.23.783 TCP : 25,110,143 -
admin Machine administration 192.168.1.20 91.56.23.780 - -

Avant de commencer

Le travail ci-dessous va utiliser la table NAT qui permet d’effectuer de la traduction d’adresses réseau (le NAT) pour les paquets. Ensuite nous allons utiliser les chaines POSTROUTING, PREROUTING et les cibles SNAT, DNAT et MASQUERADE.

Chaine PREROUTING et cible DNAT

Dans la chaine PREROUTING (avant routage) on ne peut modifier que l’adresse de destination (et les numéros de ports au cas où ils seraient déja utilisés), d’ou l’utilisation de la cible DNAT (NAT de destination).

Chaine POSTROUTING et cible SNAT

Dans la chaine POSTROUTING (après routage) on ne peut modifier que l’adresse source, d’ou l’utilisation de la cible SNAT (NAT source).

Cible MASQUERADE

Cette cible permet de déterminer l’adresse IP de sortie pour chaque paquet, ce qui est moins performant car il va vérifier l’interface de sortie pour chaque connexion. MASQUERADE est utilisée dans le cas d’une adresse IP publique dynamique, dans le cas d’IP fixe nous préfèrerons utiliser la cible SNAT en spécifiant l’adresse IP de sortie.

Si déja vous êtes perdu(e) attaquez-vous à iptables-tutorial de Oskar Andreasson à cette adresse : http://www.inetdoc.net/guides/iptables-tutorial/

Simple passerelle

La machine admin a simplement besoin d’utiliser notre serveur en tant que passerelle :

iptables -t nat -A POSTROUTING -s 192.168.1.20/32 -o eth0 -j SNAT --to-source 91.56.23.780

ou en utilisant la cible MASQUERADE :

iptables -t nat -A POSTROUTING -s 192.168.1.20/32 -o eth0 -j MASQUERADE

Si toutefois vous deviez permettre à tout votre réseau 192.168.1.0/24 d’utiliser le serveur en passerelle, remplacez simplement 192.168.1.20/32 par 192.168.1.0/24

NAT d’adresse IP publique

La machine www doit avoir une IP publique nattée (91.56.23.784).

Les commandes suivantes sont pour permettre les connexions entrantes et la seconde les connexions sortantes

iptables -t nat -A PREROUTING -d 91.56.23.784/32 -i eth0 -j DNAT --to-destination 192.168.1.10
iptables -t nat -A POSTROUTING -s 192.168.1.10/32 -o eth0 -j SNAT --to-source 91.56.23.784

Redirection de ports

Le serveur TSE utilise l’IP publique 91.56.23.780 et on veut rediriger le port 3389 TCP :

iptables -t nat -A PREROUTING -d 91.56.23.780/32 -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.12:3389
iptables -t nat -A POSTROUTING -s 192.168.1.12/32 -o eth0 -j SNAT --to-source 91.56.23.780

Le serveur de mail utilise l’IP publique 91.56.23.783 et les ports TCP 25, 110 et 143 :

iptables -t nat -A PREROUTING -d 91.56.23.783/32 -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.13:25
iptables -t nat -A PREROUTING -d 91.56.23.783/32 -i eth0 -p tcp -m tcp --dport 110-j DNAT --to-destination 192.168.1.13:110
iptables -t nat -A PREROUTING -d 91.56.23.783/32 -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.1.13:143
iptables -t nat -A POSTROUTING -s 192.168.1.13/32 -o eth0 -j SNAT --to-source 91.56.23.783

Le serveur asterisk utilise l’IP publique 91.56.23.782 et on veut rediriger le port 5060 UDP :

iptables -t nat -A PREROUTING -d 91.56.23.782/32 -i eth0 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.1.11:5060
iptables -t nat -A POSTROUTING -s 192.168.1.11/32 -o eth0 -j SNAT --to-source 91.56.23.782

Redirection d’une plage de ports

Le serveur asterisk utilise l’IP publique 91.56.23.782 et on veut rediriger la plage de ports 10000 à 20000 UDP :

iptables -t nat -A PREROUTING -d 91.56.23.782/32 -i eth0 -p udp -m udp --dport 10000:20000 -j DNAT --to-destination 192.168.1.11:10000-20000

Si vous ne l’avez pas déja fait avec une autre règle (cf. la dernière règle pour la redirection de ports), entrez cette commande :

iptables -t nat -A POSTROUTING -s 192.168.1.11/32 -o eth0 -j SNAT --to-source 91.56.23.782

Démarrage machine

Si vous redémarrez votre serveur sachez que les règles iptables ne seront pas restaurées automatiquement, des outils sont là pour vous aider :

iptables-backup et iptables-restore

Tags: , , ,

Installer un serveur OpenVPN

jan 26

Publié par minimoi dans Linux, Securité | 1 commentaire

Aller zou ! Un petit billet histoire de se mettre en forme sur l’installation d’un serveur OpenVPN. Vous allez voir que c’est assez simple et rapide à mettre en place (j’ai mis au maximum 10 minutes)

Avant toute chose, assurez-vous que vos serveurs qui vont se « VPNer » doivent avoir la même heure pour les certificats, donc utilisez la commande ntpdate :)

Lisez la suite pour installer ce serveur :)

Lire le reste de cet article »

Tags: , ,

La commande top, traduction et explications

nov 24

Publié par minimoi dans Linux | Aucun commentaire

Suite à un grand nombre de demandes d’explications sur la commande top j’ai pris quelques minutes pour réaliser un billet sur une traduction du fonctionnement et une traduction des résultats fournis par top.

top est une commande Linux qui permet de voir la consommation en temps machine, mémoire et processeur, en gros la charge de votre système. Je passerai aussi quelques lignes pour vous expliquer la notion de load average (charge moyenne) du système. (cf. Article sur la charge moyenne)

Voici la capture d’un écran fourni par top à partir duquel je vais faire mes explications :


Lire le reste de cet article »

Tags: , , ,

Exécuter une commande en différé avec Linux

mai 16

Publié par minimoi dans Linux | 1 commentaire

Vous devez exécuter une seule fois une commande mais d’ici une heure ou quelques minutes … voici une commande : at elle permet de réaliser cette fonction.

Imaginons vous souhaitez recharger apache (/etc/init.d/apache2/reload) à 22h48 :

root@archimede:~# at 22h48
warning: commands will be executed using /bin/sh
at> /etc/init.d/apache2 reload
at>
job 2 at Sun May 16 22:48:00 2010

Vous entrez la commande « at » suivi de l’heure, un prompt vous demandera quelle commande vous voulez exécuter à cette heure (et d’autres commandes si vous en avez) validez par entrée chaque saisie. Une fois terminée appuyez sur Ctrl+D

Informations supplémentaires :

On peut aussi lui fournir l’un des arguments suivants : midnight (minuit), noon (midi), ou teatime (l’heure du thé, soit 16 heures). Il est également possible de fournir un suffixe du type AM (matin), ou PM (après-midi) avec une heure sur un cadran de 12 heures. On peut indiquer le jour de lancement, en précisant une date du type nom-du-mois (en anglais) jour et éventuellement année, ou encore une date du type MMJJAA ou MM/JJ/AA ou JJ.MM.AA. La date doit suivre l’heure. On peut indiquer une heure de la forme now (maintenant) + nombre d’unités, où les unités peuvent être minutes, hours (heures), days (jours), ou weeks (semaines) et on peut également demander à at de déclencher le travail le jour même en ajoutant le suffixe today ou le lendemain en ajoutant tomorrow.

Exemple : ce midi (même commande que précédemment) :

root@archimede:~# at noon
warning: commands will be executed using /bin/sh
at> /etc/init.d/apache2 reload
at>
job 2 at Sun May 16 22:48:00 2010

Commandes supplémentaires

Vous pouvez utiliser la commande atq pour afficher la liste des opérations programmées :

3       Mon May 17 22:48:00 2010 a root
4       Mon May 17 22:50:00 2010 a root

La commande atrm permet de supprimer une tâche programmée en la combinant avec son numéro de tâche (obtenu grâce à atq) :

atrm 3

Si vous souhaitez planifier des tâches à répétition, lisez cet article : Tâches planifiées avec Linux

Tags:

Lancer des programmes Linux en arrière plan

mai 9

Publié par minimoi dans Linux | 3 commentaires

Question que beaucoup de gens posent : Comment lancer des processus en arrière plan sous linux ?

Dans ce billet je vais expliquer comment lancer des processus qui sont en tâche de fond et restent indépendants de session ouverte

1. Avec le « et commercial ou esperluette » : &

Pour lancer un processus en arrière plan ajoutez & à la fin de la commande :

cp /home/minimoi/asterisk-1.4.21.tar.gz /usr/local/src/ &

Votre commande est en arrière plan.

2. Avec la commande nohup :
Avec la commande nohup le processus démarré n’est plus lié à votre session, vous pouvez vous déconnecter le processus est lancé en arrière plan :

nohup wget http://www.admin6.fr/video_de_ghislain.avi

Commentaire : Il y a aussi screen qui permet de faire la même chose que nohup mais ce n’est pas le sujet ici on veut juste faire le plus simple ;) Un prochain billet sur l’utilisation de screen peut-être

Tags: ,

Serveur Mail complet POP/SMTP/IMAP, SpamAssasin, ClamAV, Webmail …

fév 22

Publié par minimoi dans Debian, Linux | 2 commentaires

Voici la solution qui va vous permettre d’installer un serveur mail sous linux (ici le tuto et le script sont pour une distribution Debian).Le but de ce billet est de vous faire découvrir un script d’installation automatique et 100% fonctionnelle d’un serveur Mail avec POP, IMAP, SMTP, Webmail …

Voici le menu :

  • BackEnd LDPA ou MySQL (Dans ce billet on utilisera la solution avec MySQL)
  • SMTP avec postfix
  • Webmail avec RoundCube ou SquirrelMail
  • POP/IMAP avec Dovecot
  • Anti-Spam avec SpamAssasin
  • Antivirus ClamAV et Amavisd
  • Support SSL
  • Gestion par interface Web de vos comptes Mails
  • Multi-Domaines

Lire le reste de cet article »

Tags: , ,

Changer éditeur par défaut

fév 18

Publié par minimoi dans Debian, Linux | Aucun commentaire

Des fois vous ne pouvez supporter nano (comme moi), soit vous le désinstallez et ca règle le problème ou soit vous avez envie de sélectionner un éditeur spécifique, c’est possible grâce à la commande :

update-alternatives --config editor

Vous aurez ceci :

Il y a 3 alternatives fournissant « editor ».

 Sélection    Alternative
-----------------------------------------------
 1    /bin/ed
*+        2    /bin/nano
 3    /usr/bin/vim.tiny

Appuyez sur Entrée pour conserver la valeur par défaut[*] ou choisissez le numéro sélectionné :3

Et voilà ;) Problème réglé

PS : pratique pour les crontabs ;)

Tags: , , ,

Installer un serveur NTP

jan 18

Publié par minimoi dans Linux | 2 commentaires

L’utilisation d’un serveur NTP est très répandue lorsque vous avez plusieurs serveur, ou simplement une machine qui ne possède pas de pile (cas de cartes embarquées). Voici un petit billet pour vous expliquer comment mettre en oeuvre un serveur de temps NTP.

Lire le reste de cet article »

Tags: , ,

Installer un serveur TeamSpeak3 sur linux

jan 13

Publié par minimoi dans Linux, Logiciels | 7 commentaires

TeamSpeak3 est un logiciel gratuit qui permet à des personnes de communiquer à l’intérieur d’un canal de discussion. Pour faire un serveur TeamSpeak3 sous linux

Voici un tuto pour installer TS3 sur votre serveur Linux.

Lire le reste de cet article »

Tags: , , ,

Utilisateurs de linux, passez au 64bits !

jan 13

Publié par minimoi dans Linux | Aucun commentaire

Un article de Phoronix démontre qu’il est aujourd’hui plus que pertinent d’abandonner les moutures 32 bits de Linux au profit de leurs dérivés 64 bits.

Aujourd’hui, le passage à une version 64 bits de Linux est relativement aisé. Les pilotes propriétaires des constructeurs de cartes graphiques sont disponibles en 64 bits, tout comme une version de test du greffon Flash. Les logiciels libres couvrent sans problèmes tous les autres besoins. Nous avons déjà vanté les qualités de la Fedora 64 bits, qui intègre une surcouche efficace permettant – au besoin – d’installer des binaires 32 bits.

Lire le reste de cet article »

Tags: , ,