Mémento 1.1 - Serveur srvlan
Le serveur supportera le bureau Xfce4 facilitant ainsi la gestion de celui-ci pour les utilisateurs qui préfèrent une interface graphique plutôt que la ligne de commande pure.
Xfce4 est un environnement de bureau léger, qui consommera peu de ressources système (mémoire RAM, CPU).
Ce dernier, allégé de quelques applications préinstallées par défaut, contribuera au confort d'exploitation du serveur et facilitera notamment la réalisation de certains tests sur le réseau.
Par souci d'homogénéité, Xfce4 sera l'unique bureau graphique installé sur les VM du réseau.
1 - Construction de la VM depuis VirtualBox
L'utilisation de l'hyperviseur VirtualBox est considérée acquise.
A défaut, référez-vous aux mémentos suivants :
VirtualBox - Installation
VirtualBox - Mode d’accès réseau par pont
1.1 - Création et configuration de la VM
Le PC hôte doit être un PC 64 bits, courant de nos jours.
Téléchargez l'ISO debian-z.x.y-amd64-netinst.iso :
https://cdimage.debian.org/.../current/amd64/iso-cd/
- Démarrez ensuite l'application VirtualBox 7.2.x, puis :
- - Menu de VirtualBox (icône home) -> Machine -> Nouvelle...
Selon la version de l'hyperviseur, l'interface est en franglais.
-> Virtual machine name and operating system
-> Décochez : Proceed with Unattended Installation (important)
-> VM Name : srvlan LAN
-> VM Folder : Sélectionnez un dossier où stocker vos VM
-> ISO Image : Sélectionnez l'ISO téléchargée ci-dessus
-> OS : Linux -> OS Distribution : Debian
-> OS Version : Debian (64-bit)
-> Specify virtual hardware
-> Base Memory : 1024 MB
-> Number of CPUs : 2 CPU si possible
-> Specify virtual hard disk
-> Create a Virtual Hard Disk : Ajustez à 12 Go
-> Bouton Finish
La VM créée s'affiche dans le panneau gauche de VirtualBox.
- Sélectionnez maintenant la nouvelle VM, puis :
- - Clic droit -> Configuration...
- - - Onglet Général
-> Features -> Shared Clipboard -> Bidirectionnel
- - - Onglet System
-> Carte mère -> Boot Device Order -> Décochez Disquette
-> Processeur -> Cochez PAE/NX
Le PAE/NX permet d'étendre la gestion de la mémoire physique au-delà de 4 Go tout en activant la protection contre l'exécution de code malveillant en mémoire non exécutable.
Facultatif, accès au dossier partagé par le PC hôte :
- - - Onglet Shared Folders
-> Cliquez sur l'icône + (Ajouter un dossier partagé)
-> Folder Path -> Sélectionnez Autre...
-> Accédez à votre dossier -> Ex : C:\Partage-Windows
-> Sélectionner un dossier ou Ouvrir -> OK -> OK
Les autres paramètres peuvent rester inchangés.
1.2 - Installation de la distribution Debian
Conseil pratique avant de démarrer :
Si le curseur de la souris disparaît lors d'un clic dans la fenêtre de la VM, celui-ci peut être récupéré par le PC hôte à l'aide de la touche CTRL située à droite de la barre d'espace du clavier.
- Sélectionnez la VM, puis :
-> Clic droit -> Démarrer
-> Start with GUI (La VM s'exécute)
Sélectionnez Graphical Install et appliquez ce qui suit :
- Language -> Français
- Pays (territoire ou région) -> France
- Disposition de clavier à utiliser -> Français
- Nom de machine -> srvlan
- Domaine -> Laissez le champ vide
- MDP du super utilisateur root -> Votre MDP root
- Confirmation du MDP -> Votre MDP root
- Nom complet du nouvel utilisateur -> Ex: srvlan
- Identifiant pour le compte utilisateur -> srvlan
- MDP pour le nouvel utilisateur -> Votre MDP srvlan
- Confirmation du MDP -> Votre MDP srvlan
- Méthode de partitionnement -> Assisté - utili... entier
- Disque à partitionner -> Celui proposé de 12 Go
- Schéma de partitionnement -> Tout ... seule partition
- Table des partitions -> Terminer le partitionnement ..
- Faut-il appliquer les changements ... disques ? -> Oui
L'installation commence :
- Faut-il analyser d'autres supports ... ? -> Non
- Pays du miroir de l'archive Debian -> France
- Miroir de l'archive Debian -> deb.debian.org
- Mandataire HTTP (lais...) -> Laissez vide
L'installation continue :
- Souhaitez-vous participer à l'étude statistique ... -> Non
- Logiciels à installer
-> Décochez environnement de bureau Debian
-> Décochez ... GNOME
-> Cochez ... Xfce
-> Décochez serveur SSH
-> Cochez utilitaires usuels du système
L'installation se termine :
- Installer ... de démarrage GRUB sur le disque ... -> Oui
- Périphérique ... programme de démarrage -> /dev/sda
- Installation terminée -> Continuer (sans retrait du CD)
Le système reboot et une fenêtre de connexion s'ouvre :
-> Premier champ -> Entrez l'utilisateur srvlan
-> Second champ -> Entrez Votre MDP pour srvlan
-> Bouton Se connecter
Le bureau Xfce s'ouvre :
Ouvrez le terminal de Cdes en cliquant sur son icône située en bas à l'intérieur du dock.
Autorisez ensuite l'usage de la Cde sudo à l'utilisateur srvlan :
[srvlan@srvlan:~$] su root
Mot de passe : Votre MDP pour root
[root@srvlan:~#] sudo usermod -aG sudo srvlan
[root@srvlan:~#] exitet redémarrez le serveur comme ceci :
- - Menu Applications de Xfce situé en haut à gauche
-> Déconnexion (Une fenêtre s'ouvre)
-> Bouton Redémarrer
Reconnectez-vous ensuite en tant qu'utilisateur srvlan et rouvrez le terminal de Cdes.
2 - Installation des utilitaires de VirtualBox
Ils permettront entre autres le copier/coller et l'accès au dossier partagé par le PC hôte.
Notez la version courante du noyau linux :
[srvlan@srvlan:~$] uname -rExemple de retour :
6.12.57+deb13-amd64
Installez ensuite les 2 paquets Linux suivants :
[srvlan@srvlan:~$] sudo apt install dkms build-essentialet vérifiez l'installation du paquet linux-headers dépendant de la version courante du noyau linux :
[srvlan@srvlan:~$] sudo apt *linux-headers-6.12.57*Si non installé, exécutez la commande suivante :
[srvlan@srvlan:~$] sudo apt install /linux-headers-6.12.57+deb13-amd64Debian installera automatiquement la dépendance linux-headers-6.1.0-10-amd64.
Accédez au menu VirtualBox situé sur la fenêtre de la VM :
-> Périphériques -> Insérer l'image CD des Additions invité...
Puis, montez l'image CD, installez les utilitaires et rebootez :
[srvlan@srvlan:~$] sudo mount /dev/cdrom /media/cdrom
[srvlan@srvlan:~$] cd /media/cdrom
[srvlan@srvlan:~$] sudo ./VBoxLinuxAdditions.run
[srvlan@srvlan:~$] sudo rebootUne fois fini, reconnectez-vous, la fenêtre de la VM peut à présent être redimensionnée avec la souris. Sa nouvelle taille sera enregistrée au sein de srvlan.
Le pratique copier/coller entre le PC hôte et srvlan doit maintenant fonctionner dans les 2 sens.
Sans fermer la VM, retirez l'image CD du lecteur virtuel :
- - Menu de VirtualBox > Machine > Configuration...
- - - Onglet Stockage
-> Zone Unités de stockage > Sélectionnez VBoxGuest...
-> Zone Attributs > Cliquez sur l'icône CD
-> Retirer le disque du lecteur virtuel > OK
3 - Suppression d'applications préinstallées, etc...
Supprimez ces applications non utiles sur srvlan :
[srvlan@srvlan:~$] sudo apt autoremove --purge \ libreoffice-writer libreoffice-impress \ libreoffice-calc libreoffice-math \ libreoffice-draw libreoffice-base-core \ libreoffice-core libreoffice-common
[srvlan@srvlan:~$] sudo apt install linux-headers-6.12.57+deb13-amd64[srvlan@srvlan:~$] sudo rm -r /etc/libreoffice[srvlan@srvlan:~$] sudo apt autoremove --purge \ exfalso quodlibet
et mettez le navigateur firefox en français :
[srvlan@srvlan:~$] sudo apt install firefox-esr-l10n-fr
La configuration de base est presque terminée :
La consommation mémoire est d'environ 500 Mo.
Pour un même fond d'écran sur la fenêtre de login Lightdm et le bureau Xfce, procédez ainsi :
[srvlan@srvlan:~$] cd /chemin-de-votre-fond-ecran
[srvlan@srvlan:~$] sudo cp fond.jpg /usr/share/backgrounds/
[srvlan@srvlan:~$] cd /etc/lightdm
[srvlan@srvlan:~$] sudo nano lightdm-gtk-greeter.confRemplacez la ligne #background= par celle-ci :
background=/usr/share/backgrounds/fond.jpg4 - Montage du dossier partagé par le PC hôte
Créez le dossier qui permettra d'afficher le contenu partagé par le PC hôte :
[srvlan@srvlan:~$] mkdir /home/srvlan/Partage
Créez le fichier de service home-srvlan-Partage.mount :
[srvlan@srvlan:~$] cd /etc/systemd/system [srvlan@srvlan:~$] sudo touch home-srvlan-Partage.mount
Editez celui-ci :
[srvlan@srvlan:~$] sudo nano home-srvlan-Partage.mount
et entrez le contenu suivant :
[Unit]
Description = Montage dossier partagé fourni par VirtualBox
[Mount]
What = Entrez le nom du dossier partagé par le PC hôte
Where = /home/srvlan/Partage
Type = vboxsf
Options=rw,uid=srvlan,gid=srvlan
[Install]
WantedBy = multi-user.targetExemple pour What : What=Partage-Alfred
Intégrez le service dans la configuration de systemd :
[srvlan@srvlan:~$] sudo systemctl daemon-reload
et démarrez celui-ci :
[srvlan@srvlan:~$] sudo systemctl start home-srvlan-Partage.mount
Vérifiez ensuite son statut :
[srvlan@srvlan:~$] sudo systemctl status home-srvlan-Partage.mount
Touche q pour quitter le résultat affiché.
Si statut = active, autorisez le service au boot de la VM :
[srvlan@srvlan:~$] sudo systemctl enable home-srvlan-Partage.mount
Un lien symbolique vers le service est créé.
Ouvrez enfin le gestionnaire de fichiers thunar et observez le contenu de /home/srvlan/Partage.
5 - Configuration du réseau
Avant, vérifiez l'IP courante avec la Cde ip address :
[srvlan@srvlan:~$] ip address
Résultat, IP 10.0.2.15, IP fournie par VirtualBox :
Puis installez les 2 paquets suivants :
[srvlan@srvlan:~$] sudo apt install netfilter-persistent
[srvlan@srvlan:~$] sudo apt install iptables-persistent
Une fenêtre Config... iptables-persistent s'ouvre :
-> Faut-il enregistrer les règles IPv4 actuelles ? > Oui
-> Faut-il enregistrer les règles IPv6 actuelles ? > Oui
2 fichiers rules.v4/v6 ont été créés dans /etc/iptables/.
Ils serviront à déclarer persistantes des règles iptables.
La VM srvlan étant prévue en zone LAN, il faut changer le mode d'accès réseau de sa carte réseau enp0s3.
Pour cela, sélectionnez la VM srvlan dans VirtualBox :
- - Menu de VirtualBox > Machine > Configuration...
- - - Onglet Réseau
-> Adapter 1 > Mode d'accès réseau > Réseau interne
-> OK
5.1 - Adressage IP fixe carte enp0s3
Configurez à présent une IP fixe sur la carte enp0s3 :
- - Bureau Xfce, barre du haut
-> Clic droit sur l'icône Réseau située à droite
-> Sélectionnez Modifier les connexions...
Une fenêtre Connexions réseau s'ouvre :
-> Sélectionnez la connexion Wired connection 1
-> Cliquez sur l'icône roue dentée de la fenêtre
Une fenêtre Modification de ... s'ouvre :
-> Nom de la connexion > Entrez Connexion carte 1
- - - Onglet Ethernet
-> Périphérique > Sélectionnez enp0s3
- - - Onglet Paramètres IPv4
-> Méthode > Sélectionnez Manuel > Bouton Ajouter
-> Champ Adresse : Entrez 192.168.2.2
-> Champ Masque de réseau : Entrez 255.255.255.0
-> Champ Passerelle : Entrez 192.168.2.1
-> Serveurs DNS > Entrez l'IP locale de votre Box Internet
-> Bouton Enregistrer
Fermez ensuite la fenêtre Connexions réseau.
Pour finir, stoppez la VM srvlan :
- - Menu Applications de Xfce situé en haut à gauche
-> Déconnexion > Une fenêtre s'ouvre
-> Bouton Eteindre
5.2 - Création et adressage IP fixe carte enp0s8
Le raccordement de la VM srvlan nécessite de créer une seconde carte réseau sur celle-ci.
Pour cela, sélectionnez la VM srvlan dans VirtualBox :
- - Menu de VirtualBox > Machine > Configuration...
- - - Onglet Réseau
-> Adapter 2 > Cochez Activer l'interface réseau
-> Mode d'accès réseau > Sélectionnez Réseau interne
-> OK
Redémarrez la VM srvlan.
Configurez également une IP fixe sur cette carte réseau :
- - Bureau Xfce, barre du haut
-> Clic droit sur l'icône Réseau située à droite
-> Sélectionnez Modifier les connexions...
Une fenêtre Connexions réseau s'ouvre :
-> Sélectionnez la nouvelle connexion affichée
-> Cliquez sur l'icône roue dentée de la fenêtre
Une fenêtre Modification de ... s'ouvre :
-> Nom de la connexion > Entrez Connexion carte 2
- - - Onglet Ethernet
-> Périphérique > Sélectionnez enp0s8
- - - Onglet Paramètres IPv4
-> Méthode > Sélectionnez Manuel > Bouton Ajouter
-> Champ Adresse : Entrez 192.168.3.1
-> Champ Masque de réseau : Entrez 255.255.255.0
-> Bouton Enregistrer
Fermez ensuite la fenêtre Connexions réseau.
Redémarrez srvlan et vérifiez la configuration réseau :
[srvlan@srvlan:~$] ip address [srvlan@srvlan:~$] nmcli # Cde NetworkManager
Les fichiers configurés avec NetworkManager sont ici :
/etc/NetworkManager/system-connections/
Nota : La VM srvlan n'accède plus à Internet, la VM suivante permettra de retrouver cet accès.
5.3 - Routage interne au serveur
L'activation du routage avec la Cde ip_forward permettra, selon les règles définies dans la table de routage du serveur, le renvoi de paquets de données arrivés par une interface réseau vers une autre interface réseau.
Pour l'activez, éditez le fichier sysctl.conf :
[srvlan@srvlan:~$] sudo nano /etc/sysctl.conf
et retirez le # de la ligne #net.ipv4.ip_forward=1.
Relancez ensuite le service réseau :
[srvlan@srvlan:~$] sudo systemctl restart NetworkManager
5.4 - Translation d'adresses NAT
-- Définition de WIKIBOOKS --
Objectif du NAT (Network Address Translation) :
Faire que les PC d'un réseau interne n'apparaissent que sous l'identifiant d'une seule IP pour les réseaux externes (c'est un masquage ou IP Masquerading).
Votre box Internet (passerelle) fait du NAT entre votre réseau privé et le réseau Internet et de ce fait votre fournisseur d'accès (FAI) ne vous donne qu'une seule IP alors que vous pouvez très bien avoir plusieurs PC connectés à Internet à partir de votre réseau local.
Le NAT répond principalement au manque d'adresses IP dans le plan d'adressage ipV4 pour l'accès à Internet.
Il permet également de s'affranchir de la gestion des tables de routage et fonctionne avec le service iptables installé par défaut avec Debian.
Vérifiez l'état courant du NAT ou IP Masquerading :
[srvlan@srvlan:~$] sudo iptables -L -t nat
Résultat, NAT inactif, pas de target MASQUERADE :
Activez celui-ci en utilisant une règle iptables :
[srvlan@srvlan:~$] sudo iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
et affichez de nouveau le contenu de la table NAT :
[srvlan@srvlan:~$] sudo iptables -L -t nat
Résultat, le NAT est actif :
Effectuez une sauvegarde de la règle iptables :
[srvlan@srvlan:~$] su root [root@srvlan:~$] sudo iptables-save > /etc/iptables/rules.v4 [root@srvlan:~$] exit
et déclarez celle-ci persistente :
[srvlan@srvlan:~$] sudo systemctl enable netfilter-persistent [srvlan@srvlan:~$] sudo systemctl restart netfilter-persistent
Elle sera ainsi activée à chaque boot du système.
Par curiosité, lisez la table de routage avec la Cde ip r :
Bravo !
Le serveur srvlan est prêt.
Le mémento 2.1 vous attend pour
l'ajout du serveur srvsec(IPFire).