Re: [FRnOG] [TECH] Re: connectivité temporaire pour site isolé

[Joel Marchand]

        Bonjour,

> Très intéressant, merci pour le retour, à lire en détail plus tard.
Tant mieux.

> 2 questions:
> 
> - Combien de temps il a fallu pour configurer le PC / Proxy ?
Tout dépend si on a l'habitude. Je confesse que je l'avais 
pas mal perdue ;-) Cela ne va pas chercher loin en tout cas.
Pour qqn qui sait, ca doit prendre qqs heures, voire moins
si on fait cela toute la journée.

La liste des fichiers dans /etc modifiés est qqch comme

./sysctl.conf
./hosts
./default/isc-dhcp-server
./bind/named.conf.options
./bind/named.conf.local
./bind/zone.anf2014.org
./dhcp/dhcpd.conf
./squid3/squid.conf
./network/interfaces
./apt/sources.list
./resolv.conf

Ci-dessous les notes que j'ai prises (j'ai zappé la partie liée à 
nos propres applicatifs métier)

        - merci aux geek++ de ne pas se moquer !

        - j'ai essayé de voir si cela avait un sens de faire
        proxy-cache sur HTTPS (because par ex. Google)
        mais je n'ai pas réussi et su si cela avait un sens - cf les notes

> Ceci m'étonne un peu. Chaque canal consomme 22 Mhz donc en fait le spectre de 
> 5, donc le haut du canal 1 bouffe dans l'assiette du bas du canal 5.
> J'ai toujours cru qu'il n'y avait que 3 canaux en 2.4 Ghz : 1, 6 et 11. 
> Est-ce que les canaux Français sont différents des nôtres ?
Ah merci bien ! Je croyais qu'une répartition 1, 5 et 9 était OK. Mea culpa
donc. Je note soigneusement cette information.

Bien cordialement,
        
        Joel Marchand

*/ comptes
==========
        - changement du pw de root
        - création du compte huma-num

*/ réseau
=========
        - /etc/network/interfaces
        - /etc/resolv.conf : usage des DNS publics de Google 8.8.8.8 et 8.8.4.4

*/ système
==========
        - /etc/apt/sources.list
        - apt-get update && apt-get upgrade

*/ paquets utiles pour le contexte
==================================
        - apt-get install lsof tcpdump wireshark ipcalc host firefox apache2

*/ paquets pour avoir le même environnement bureautique que sur mon PC
======================================================================
        - apt-get install mutt msmtp urlview antiword xpdf mailutils
        - apt-get install links w3m lynx html2text
        - apt-get install texlive-latex-base latex-beamer texlive-latex-extra 
texlive-lang-french texlive-fonts-recommended
        - apt-get install libreoffice

*/ config Squid
===============
        - apt-get install squid3
        - service squid3 stop
        - mkdir /srv/squid3
        - chown proxy:proxy /srv/squid3
        - modif de /etc/squid3/squid.conf sur la base du fichier de l'Obs.
        - squid3 -z
        - service squid3 start

*/ config DHCP
==============
        - apt-get install isc-dhcp-server
        - modif de /etc/dhcp/dhcpd.conf
        - usage des DNS publics de Google 8.8.8.8 et 8.8.4.4

*/ config iptables
==================

        - # pour le NAT de eth1 vers eth0
        iptables -t nat -A POSTROUTING -s 10.42.0.0/24  -j MASQUERADE

        - # pour forcer le passage via Squid depuis eth1
        iptables -t nat -A PREROUTING -i eth1 -s 10.42.0.0/24  -p tcp --dport 
80 -j REDIRECT --to-port 3128

        - mise dans /etc/rc.local pour chargement au boot

*/ serveur TFTP
===============

        - apt-get install atftpd atftp
        -> le dossier d'échange est en /srv/tftp

        - mise en place de la sauvegarde de la première borne
        alias exec saveconf copy running-config tftp://10.42.0.1/borne1.conf

        - NB : on peut prendre la main sur la borne par
                ssh Cisco@10.42.0.2
                Password : idem

*/ Squid pour HTTPS
===================
        
        - nativement le paquet Debian n'est pas compilé avec l'option
                enable-ssl
        NB : idem sur Ubuntu
             natif par défaut sur CentOS/Scientific Linux

        - suppression du paquet
                sauv. de la config squid.conf réalisée précédemment
                service squid3 stop
                apt-get -y purge squid-cgi squid3 squid3-common squid3-dbg 
squidclient

        - suivre les indications de
                
http://www.mercereau.info/serveur-proxy-squid3-avec-ssl-rebuild-debian-squeeze-package/
                http://labs.zentyal.org/https-transparent-proxy-in-zentyal/
                
        - installation de paquets
                apt-get install devscripts build-essential fakeroot libssl-dev
        
        - préparation des sources
                cd /usr/src
                apt-get source squid3
                apt-get build-dep squid3

        - modification pour activation SSL
                cd /usr/src/squid3-3.*
                vi debian/rules

        - compilation
                ./configure
                debuild -us -uc -b

        - installation
                cd ..
                apt-get -y install squid-langpack
                dpkg -i  *.deb

        - génération du certificat
                mkdir /etc/squid3/ssl
                cd /etc/squid3/ssl
                openssl genrsa -des3 -out privkey.pem 2048
                openssl req -new -x509 -nodes -key privkey.pem -out cacert.pem 
-days 3650
                openssl rsa -in privkey.pem -out privkey_noPwd.pem

        - moyennant la régle
        iptables -t nat -A PREROUTING -i eth1 -s 10.42.0.0/24  -p tcp --dport 
443 -j REDIRECT --to-port 3130
        et une modif dans squid.conf, cela fonctionne, mais cela produit une 
erreur sur tous
        les sites pour cause de certificats incorrects

        - il semble qu'il y ait des solutions, mais cela semble
                - compliqué
                - de ttes facons, mal au niveau déontologie
                - pas sûr que cela fasse cache, qui est la fonction recherchée
        -> abandon

*/ modem/routeur 4G Huawei
==========================

        - suppression des services
                DHCP
                WiFi
        
        - activation du lien Internet par achat d'une carte prépayée
        http://boutique.orange.fr/rechargement-carte-prepayee-forfait-bloque
        de 3 Go pour 6 mois via la CB de l'unité

        - rem1 : si le PC routeur a été client DHCP du routeur 4G,
        cela a pollué /etc/resolv.conf et /etc/hosts. Tant que le ménage
        n'y est pas fait, la connexion par SSH depuis un PC client
        derrière le PC routeur est très lente

        - rem2 : pour pouvoir accéder par Firefox (depuis un PC client
        ou depuis le PC routeur) au routeur 4G, il *faut* utiliser
        le DNS du dit routeur 4G (192.168.1.1) pour que le nom
                homerouteur.cpe
        soit résolu

*/ cache DNS
============
        
        - cf http://www.lex-web.net/using-bind-as-a-local-dns-proxy/

        - apt-get install bind9 dnsutils bind9-doc resolvconf ufw

        - édition de 
                /etc/bind/named.conf.options
                /etc/resolv.conf
                /etc/dhcp/dhcpd.conf

        - commandes de supervision
                rndc querylog -> /var/log/syslog
                rndc stats -> /var/cache/bind/named.stats
                rndc dumpdb -> /var/cache/bind/named_dump.db

        - création de la zone anf2014.org
                /etc/bind/named.conf.local
                /etc/bind/zone.anf2014.org

*/ Post-install une fois en production
======================================

        - test de gros transferts
                apt-get install vim curl

        - monitoring MRTG
                - 
http://www.pc-fute.com/materiel/guides-monitorer-son-serveur-linux-avec-mrtg,119.html
                - http://cobecoballes-linux.blogspot.fr/2010/07/mrtg-server.html
                - apt-get install snmp mrtg snmpd

--
Très Grande Infrastructure de Recherche Huma-Num - CNRS UMS 3598
3ème étage - bureau 372 - CS n°71345
190-198 avenue de France - 75648 PARIS CEDEX 13
Tél : 01 49 54 83 09  - http://www.huma-num.fr/personne/joel-marchand


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/