web-dev-qa-db-fra.com

Comment configurer 2 cartes LAN?

Ubuntu 14.04 est installé sur mon système et utilisé comme serveur dans mon bureau avec 15 employés. J'ai 2 cartes LAN dans mon système:

  • Un pour l'entrée du routeur sur mon serveur Ubuntu
  • Un autre de mon système à un commutateur, qui connecte tous mes employés depuis ce commutateur via des câbles LAN.

Maintenant, comment puis-je configurer mes deux cartes de réseau local, car je souhaite bloquer certains sites et restreindre le réseau.

server14.04lan
3
Gurupal singh

Je suppose que sur votre serveur eth0 est connecté au commutateur et eth1 est connecté au routeur. Je suppose que votre adresse de réseau local est 10.1.1.0/255.255.255.0 Je suppose que votre routeur est 192.168.0.1/255.255.255.0

Sur le NIC connecté au commutateur, attribuez une adresse IP dans la même plage que le réseau local desservi par votre commutateur. Mais sans définition de passerelle. Dans/etc/network/interfaces:

auto eth0
iface eth0 inet static
   address 10.1.1.1
   netmask 255.255.255.0

Sur le NIC connecté au routeur, je vois deux possibilités concernant votre propre configuration:

  1. Vous affectez une adresse IP fixe, dans la même plage que celle de votre routeur, et vous définissez la passerelle par défaut vers cette adresse IP du routeur. Dans ce cas, vous devriez ajouter ceci à votre /etc/network/interfaces
auto eth1
iface eth1 inet static
    address 192.168.0.2
    netmask 255.255.255.0
    gateway 192.168.0.1
  1. Le routeur peut attribuer de manière dynamique une adresse IP à votre serveur (DHCP). Il vous suffit ensuite de configurer ce NIC en tant que carte réseau compatible DHCP. Dans ce cas, vous devriez ajouter ceci à votre /etc/network/interfaces
auto eth1
 iface eth1 inet dhcp

La deuxième configuration consiste à vous assurer que vous pourrez router le trafic entre ces deux cartes réseau. Pour permettre cela, vous devrez adapter le fichier /etc/sysctl.conf. Dans ce fichier, décommentez la ligne suivante:

net.ipv4.ip_forward = 1

Ce paramètre sera activé lors du prochain redémarrage. Si vous souhaitez l'activer manuellement sans redémarrer, vous pouvez procéder comme suit:

Sudo echo 1 | Sudo tee /proc/sys/net/ipv4/ip_forward

La troisième étape consiste à vérifier que tous les ordinateurs de vos employés sont configurés pour utiliser 10.1.1.1 , l’IP de la carte LAN connectée au commutateur. comme passerelle par défaut.

Les étapes ci-dessus vous aideront à configurer les connexions réseau de votre serveur, mais si vous devez appliquer des restrictions à vos employés, vous devrez également prendre en compte les éléments suivants:

  1. Utilisation de iptables (aussi appelé pare-feu Linux) pour bloquer le trafic que vous n'autorisez pas sur Internet. Les règles Iptables peuvent être très complexes à gérer, je vous suggère donc d'installer et d'essayer le logiciel appelé ufw , le ncomplicated Firewall cela vous facilitera la vie avec Iptables. Plus d'informations sur ces outils sont disponibles sur le wiki d'aide de la communauté Ubunt , entre autres.
  2. Vous pouvez également envisager d'installer un serveur proxy Web, tel que Squid . Un serveur proxy Web vous permettra de restreindre les sites Web que vos employés peuvent visiter. Le proxy Web peut également activer l'authentification, de sorte que seuls les utilisateurs connus sont autorisés à l'utiliser. Les règles de Squid peuvent être configurées de telle sorte que l'utilisateur1 et l'utilisateur2 n'aient pas les mêmes restrictions. Jetez un oeil à le site de ces produits pour savoir comment le configurer.
  3. Dans le navigateur Web de chaque PC, vous devez spécifier l'adresse IP interne de votre serveur (dans mon exemple 10.1.1.1) en tant que serveur proxy. Pour vous assurer que vos employés ne vont pas directement à Internet, en contournant le proxy et ses protections, vous devrez créer des règles de pare-feu sur le serveur pour bloquer le trafic vers les ports 80 et 443 du LAN à Internet.
  4. La configuration de Squid peut être complétée par quelques addons qui permettent de récupérer des listes de catégories de sites Web pour faciliter le blocage. Par exemple, squidguard peut être combiné à Squid pour récupérer des listes noires de sites Web afin de bloquer automatiquement l'accès à ces sites sans avoir à les configurer manuellement dans le configuration standard de calmar. Plus d'infos là-bas .

Les trois logiciels mentionnés ci-dessus sont tous disponibles à partir du référentiel Ubuntu standard.

Sudo apt-get install ufw squid squidguard

va installer le logiciel. Vous devrez affiner leur configuration pour répondre à vos besoins.

Remarque:

Faire de votre serveur un proxy Web est également possible si votre serveur ne possède qu'une seule carte réseau. Selon le type de votre routeur, il peut être possible de faire tout ce que le pare-feu contient. Dans ce cas, il sera plus facile de configurer le réseau:

  1. Le routeur IP est la passerelle par défaut pour tout périphérique du réseau, PC et serveur.
  2. Routeur, serveur et PC sont connectés aux mêmes commutateurs
  3. Le routeur, le serveur et le PC se trouvent dans le même sous-réseau. Par conséquent, si le routeur est compatible DHCP, il peut également utiliser DHCP pour le PC et vous n'avez pas à vous soucier de la configuration du réseau sur chaque PC.
  4. Squid & squidguard peuvent toujours être installés sur votre serveur et utilisés par tous les PC.
5
Benoit