Page suivante Page précédente Table des matières

12. Configurations avancées

Je voudrais aborder une configuration particulière avant de refermer ce document. Celle que j'ai soulignée précédemment suffira probablement pour de nombreux cas. Néammoins, je pense que la situation suivante montrera une configuration plus avancée qui éclaircira certains points d'ombre. S'il vous reste des questions après ce que je viens de décrire, ou simplement que l'adaptabilité des serveurs mandataires et des pare-feux vous intéresse, lisez encore.

12.1 Un grand réseau avec sécurité renforcée

Disons, par exemple, que vous êtes le gourou de la secte de la 23ème Cabale de la Discorde de Milwaukee. Vous souhaitez mettre votre site en réseau. Vous avez cinquante ordinateurs et un sous-réseau de trente-deux adresses IP (sur cinq bits). Vous avez différents niveaux d'accès parce que vous dites à vos disciples différentes choses en fonction de leur niveau. C'est pourquoi vous devez protéger certaines parties du réseau du reste.

(NdT : Le traducteur a conservé la 23ème Cabale de la Discorde de Milwaukee, issue du texte initial, contrairement à ce que contiennent les nouvelles versions (millisha : version militarisée) qui serait moins explicite du principe pour un public francophone).

Les niveaux sont les suivants :

  1. Le niveau extérieur. C'est celui qui est montré à tout un chacun. En gros, c'est l'histoire et les ragots sur Eris, la divinité de la Discorde, et tout le reste du dogme ;
  2. Sage. C'est le niveau des gens qui ont passé le niveau extérieur. C'est là que vous leur dites que la discorde et la structure ne font qu'un, et qu'Eris est aussi le Dieu tout-puissant ;
  3. Adepte. C'est là que se trouve le plan réel. Dans ce niveau sont stockées toutes les informations sur la manière dont la secte des Discordiens prendra le pouvoir sur le monde, à l'aide d'un plan déviationniste, mais humoristique, impliquant PetitMou, HAL, R2D2, Nounours et cinq cents cristaux, tous marqués "80585,9999999997" par erreur.

La configuration du réseau

Les numéros IP sont arrangés ainsi :

Puis, deux réseaux séparés sont construits, chacun dans une pièce différente. Ils sont routés par Ethernet infrarouge pour les rendre complètement invisibles de la pièce extérieure. Par chance, l'Ethernet infrarouge fonctionne tout à fait comme l'Ethernet normal, donc il nous suffit de les considérer comme normaux.

Ces réseaux sont connectés chacun à sa machine Linux avec une adresse IP supplémentaire.

Un serveur de fichiers relie les deux réseaux protégés. C'est parce que les plans pour prendre le pouvoir sur le monde prennent en compte certains des sages les plus élevés. Le serveur de fichiers a les adresses 192.168.2.17 pour le réseau des sages et 192.168.2.23 pour le réseau des adeptes. Il doit avoir des adresses IP différentes, car il doit avoir deux cartes Ethernet différentes. La transmission IP y est désactivée.

La transmission IP est aussi désactivée sur les deux machines Linux. Le routeur ne transmettra pas les paquets destinés à 192.168.2.xxx sauf si on lui demande explicitement de le faire, donc InterNet ne pourra pas entrer. La raison de la désactivation de la transmission IP ici est d'empêcher les paquets du réseau des sages d'atteindre le réseau des adeptes, et vice versa.

Le serveur NFS peut aussi être configuré pour présenter différents fichiers aux différents réseaux. Cela peut devenir pratique, et assez astucieux d'utiliser les liens symboliques pour partager les fichiers communs. Cette configuration associée à une autre carte Ethernet peut ainsi permettre l'usage d'un seul serveur de fichiers pour les trois réseaux.

La configuration du bastion

Maintenant, puisque les trois niveaux doivent être capables de piloter le réseau pour leurs propres besoins déviationnistes, tous les trois ont besoin d'un accès InterNet. Le réseau extérieur est connecté directement à celui-ci, donc nous n'avons pas à nous préoccuper d'un serveur mandataire ici. Les réseaux des sages et des adeptes sont derrière des pare-feux, il est donc nécessaire de leur configurer des serveurs mandataires.

Les deux réseaux seront configurés de manière similaire. Tous deux ont les mêmes adresses IP assignées. Je vais ajouter quelques paramètres, afin de rendre les choses encore plus intéressantes :

  1. Personne ne peut utiliser le serveur de fichiers pour l'accès Internet. Cela exposerait le serveur de fichiers aux virus et autres choses désagréables, et il est très important, donc il est derrière les limites ;
  2. Nous ne voulons pas donner aux sages l'accès au web. Il sont encore en entraînement, et cette puissance de recherche d'informations peut se révéler dangereuse.

Ainsi, le fichier sockd.conf de la machine Linux des sages contiendra cette ligne :

        deny 192.168.2.17 255.255.255.255

Et sur la machine des adeptes :

        deny 192.168.2.23 255.255.255.255

Et la machine Linux des sages contiendra cette ligne :

        deny 0.0.0.0 0.0.0.0 eq 80

Cela indique l'interdiction d'accès pour toutes les machines tentant d'accéder au port 80, le port http. Cela laisse l'accès à tous les autres services, et interdit juste l'accès Web.

Ensuite, les deux fichiers auront :

        permit 192.168.2.0 255.255.255.0

pour permettre à tous les ordinateurs du réseau 192.168.2.xxx d'utiliser ce serveur mandataire sauf pour ceux à qui cela a déjà été interdit (i.e. le serveur de fichiers et l'accès Web pour le réseau des sages).

Le fichier sockd.conf du réseau des sages aura l'allure suivante :

        deny 192.168.2.17 255.255.255.255
        deny 0.0.0.0 0.0.0.0 eq 80
        permit 192.168.2.0 255.255.255.0

et le fichier des adeptes aura celle-ci :

        deny 192.168.2.23 255.255.255.255
        permit 192.168.2.0 255.255.255.0

Cela doit tout configurer correctement. Chaque réseau est isolé comme il faut, avec le niveau d'interaction approprié. Chacun peut être heureux. Maintenant, prenez le pouvoir sur le monde !


Page suivante Page précédente Table des matières