|
| PingOO V2 : Le serveur PingOO dans le réseau local |
Le serveur PingOO possède deux cartes ethernet. La première carte, identifiée LAN, est reliée au réseau ethernet de l'établissement, l'autre, identifiée WAN, est connectée à la prise ethernet du routeur. Le serveur PingOO est une passerelle supplémentaire située juste avant le routeur. Il a un rôle de barrière ("firewall") entre le monde extérieur et le réseau de l'établissement. Il doit aussi permettre de contrôler le traffic venant des machines du réseau interne en direction de l'extérieur, ce qui permet de maîtriser l'utilisation de la ligne RNIS. PingOO assure en local tous les services indispensables au fonctionnement du réseau TCP/IP (principalement le service de nommage DNS) Toutes ces fonctionnalités, à terme, pourront être pilotées via l'interface de gestion DLAI.
Tous les accès à des services disponibles sur des machines externes se font via des applications de type "passerelle" sur le serveur Ping00. Ce sont ces applications qui se chargent du dialogue avec le "monde externe" sur demande d'un client dans le réseau de l'établissement. On citera le proxy pour le web ou bien le serveur de messagerie pour envoyer du courier.
Enfin, il est possible d'autoriser explicitement l'accès direct pour certaines machines vers des serveurs situés au CRI et éventuellement sur Internet. Par exemple, cela peut vous permettre de recupérer du courrier sur une boîte aux lettres située sur un serveur du réseau externe.
PingOO fait office de pare-feu (firewall). En fonction de l'adresse IP de la machine, il est possible d'autoriser ou d'interdire l'accès à certaines ressources (telles que le web, mail, ftp). L'interface DLAI permettra à l'administrateur du serveur PingOO de définir lui-même les règles de protection.
Normalement, les postes de l'établissement ne peuvent pas dialoguer en direct avec des serveurs du réseau externe. Cependant, pour certaines machines il est possible d'accéder directement à des ressources hors du réseau local. Dans le schéma ci dessous, l'utilisateur de la machine PC1 peut relever le contenu d'une boite aux lettres sur le site central (CRI Archamps).Ce n'est pas le cas avec la machine PC2 qui verra toutes ses requêtes en direction du routeur interceptées et rejetées par le serveur PingOO.
On notera que dans ce cas une machine autorisée "à sortir" peut à cause d'un mauvais réglage déclencher des connexions intempestives du routeur. Nous sommes ici dans la même configuration que pour un réseau directement connecté au routeur et dont les services (DNS, mail, etc ..) se trouvent sur le site central.
L'objectif est de garantir que sauf accès de l'utilisateur à une ressource externe il n'y aura pas de connexion du routeur.
PingOO est le routeur par défaut pour les machines de l'établissement. En ce qui concerne le nommage des machines, PingOO est le serveur DNS.
Un plan de nommage interne a été défini.
Nous utilisons un nom de domaine du type : "nom_etab.etab". "nom_etab" est un nom spécifique à l'établissement. Les machines du réseau local ne peuvent résoudre que sur le domaine interne. Nous évitons ainsi que des requêtes DNS non contrôlées provoquent des connexions indésirables. De plus le plan de nommage interne permet de raccourcir et de simplifier les noms de machines, l'administrateur du réseau appréciera.
L'accès aux services Web et Ftp se fait via le proxy (proxy.nom_etab.etab) disponible sur le serveur PingOO. Seul le proxy peut déclencher des requêtes vers des serveurs sur Internet (DNS, Web, Ftp, ...).
Le serveur de messagerie se trouve sur le serveur PingOO. Le dialogue avec les autres serveurs de messagerie sur Internet est contrôlé par le serveur PingOO.
Un HOWTO est dédié à ce sujet.
Le serveur PingOO est la passerelle (le routeur) vue par les machines du réseau local de l'établissement. Côté LAN tous les serveurs PingOO ont l'adressage IP suivant :
Pour fonctionner avec le serveur PingOO les machines clientes doivent appartenir au réseau 192.168.0.0, elles ont donc les paramètres suivants :
Le sigle x indique une valeur à définir par l'administrateur du serveur PingOO via l'interface DLAI. Des valeurs par défaut existent (cf tableau ci dessous). Elle ne peuvent pour l'instant être modifiées, il faudra attendre les prochaines versions de DLAI et de PingOO. En effet, il manque l'outil de gestion du DNS (Nommage des machines).
Dans la section Howto, un guide pour la configuration des postes sous Windows 9x est disponible
Voici les noms de machines et les adresses IP disponibles. Ces valeurs vous sont imposées pour le moment:
| nom | domaine | adresse IP |
| - | - | - |
| machines | administrateurs | tous les droits : |
| admin1 | nometab.etab | 192.168.0.11 |
| admin2 | nometab.etab | 192.168.0.12 |
| admin... | nometab.etab | 192.168.0... |
| admin11 | nometab.etab | 192.168.0.20 |
| - | - | - |
| - | - | - |
| machines | classiques | accès internet : |
| pc1 | s1.nometab.etab | 192.168.1.1 |
| pc2 | s1.nometab.etab | 192.168.1.2 |
| pc3 | s1.nometab.etab | 192.168.1.3 |
| pc... | s1.nometab.etab | 192.168.1... |
| pc100 | s1.nometab.etab | 192.168.1.100 |
| - | - | - |
| pc1 | s2.nometab.etab | 192.168.2.1 |
| pc2 | s2.nometab.etab | 192.168.2.2 |
| pc3 | s2.nometab.etab | 192.168.2.3 |
| pc... | s2.nometab.etab | 192.168.2... |
| pc100 | s2.nometab.etab | 192.168.2.100 |
| - | - | - |
| pc... | s....nometab.etab | 192.168.... |
| - | - | - |
| pc1 | s16.nometab.etab | 192.168.16.1 |
| pc2 | s16.nometab.etab | 192.168.16.2 |
| pc3 | s16.nometab.etab | 192.168.16.3 |
| pc... | s16.nometab.etab | 192.168.16... |
| pc100 | s16.nometab.etab | 192.168.16.100 |
| - | - | - |
| - | - | - |
| machines | classiques | Internet + NAT : |
| pc1 | s18.nometab.etab | 192.168.18.1 |
| pc2 | s18.nometab.etab | 192.168.18.2 |
| pc3 | s18.nometab.etab | 192.168.18.3 |
| pc... | s18.nometab.etab | 192.168.18.... |
| pc100 | s18.nometab.etab | 192.168.18.100 |
| - | - | - |
| - | - | - |
| machines | classiques | SANS accès internet : |
| pc1 | s100.nometab.etab | 192.168.100.1 |
| pc2 | s100.nometab.etab | 192.168.100.2 |
| pc3 | s100.nometab.etab | 192.168.100.3 |
| pc... | s100.nometab.etab | 192.168.100... |
| pc100 | s100.nometab.etab | 192.168.100.100 |
| - | - | - |
| pc1 | s101.nometab.etab | 192.168.101.1 |
| pc2 | s101.nometab.etab | 192.168.101.2 |
| pc3 | s101.nometab.etab | 192.168.101.3 |
| pc... | s101.nometab.etab | 192.168.101... |
| pc100 | s101.nometab.etab | 192.168.101.100 |
| - | - | - |
| pc... | s....nometab.etab | 192.168.... |
| - | - | - |
| pc1 | s110.nometab.etab | 192.168.110.1 |
| pc2 | s110.nometab.etab | 192.168.110.2 |
| pc3 | s110.nometab.etab | 192.168.110.3 |
| pc... | s110.nometab.etab | 192.168.110... |
| pc100 | s110.nometab.etab | 192.168.110.100 |
Comme expliqué dans le chapitre précédent, afin d'optimiser l'utilisation de la ligne RNIS nous avons mis en place des filtres sur les adresses des machines. L'interface DLAI ne possédant pas encore l'outil qui devra vous permettre de paramétrer cela, vous devez tenir compte de ce qui a été configuré par défaut. Le tableau ci dessous liste les autorisations en fonction des adresses IP des machines :
| adresse IP | 192.168.0.11..192.168.0.20 | 192.168.1.1..192.168.1.100 | 192.168.2.1..192.168.2.100 | .. | 192.168.16.1..192.168.16.100 | 192.168.100.1..192.168.110.100 |
| Web interne (port tcp 80) | oui | oui | oui | .. | oui | oui |
| Ftp interne (ports tcp 21 et 20) | oui | oui | oui | .. | oui | oui |
| Web et Ftp externe via le proxy (port tcp 3128) | oui | oui | oui | .. | oui | NON |
| Envoie de mail (port tcp 25) | oui | oui | oui | .. | oui | oui |
| Réception de mail (ports tcp 110 et 143) | oui | oui | oui | .. | oui | oui |
| Horloge réseau NTP (port tcp 123) | oui | oui | oui | .. | oui | oui |
| Accès de type serveur NT (port tcp 137 a 138) | oui | oui | oui | .. | oui | oui |
| Accès externe direct | oui | non | non | .. | non | non |
Tous les serveurs PingOO utilisent le même plan d'adressage IP coté LAN (classe B 192.168.0.0).L'accès à des ressources externes nécessite de faire de la translation d'adresse IP (NAT, Network Address Translation).Le processus consiste à réécrire le champ adresse source du paquet IP. L'adresse du poste client est remplacée par celle de l'interface WAN du serveur PingOO. Pour retrouver à quel poste client sont destinés les paquets IP provenant du réseau externe, le NAT utilise les ports TCP. Ce mécanisme empêche l'utilisation de certains services. Une liste de ce qui marche est disponible à l'url suivant: http://www.freenix.fr/unix/linux/HOWTO/mini/IP-Masquerade.html
2 possibilités pour que des machines puissent accéder à des serveurs autre que le PingOO :