Linux:Configuration réseau pour une CentOS/RedHat/Fedora
De WIKI.minetti.org
Sommaire
But
Lancer la configuration du réseau pour un serveur après une installation minimale ou ajouter une adresse IP supplémentaire.
Mode opératoire
- Établir une connexion temporaire à l'aide de DHCP:
dhclient eth0
- Installer les utilitaires de configurations en tapant les commandes suivantes:
yum install system-config-network-tui yum install system-config-firewall-tui
- Lancer l'utilitaire de configuration du réseau en tapant la commande suivante:
system-config-network-tui
- Éventuellement faire du paramétrage manuel en cas de problème (voir Fichiers configuration réseau).
- Réinitialiser les interfaces réseaux en tapant la commande suivante:
service network reload
- Lancer l'utilitaire de configuration du firewall en tapant la commande suivante:
system-config-firewall-tui
- Éventuellement faire du paramétrage manuel en cas de problème (voir Fichiers configuration firewall).
- Réinitialiser le firewall en tapant la commande suivante:
service iptables reload
Fichiers configuration réseau
- /etc/resolv.conf:
search srv.minetti.org minetti.org postes.minetti.org nameserver 192.168.2.1 nameserver 192.168.2.2
- /etc/sysconfig/network (exemple pour amon):
NETWORKING=yes HOSTNAME=amon.srv.minetti.org GATEWAY=192.168.1.254
- /etc/sysconfig/network-scripts/ifcfg-eth0 (exemple pour amon):
NAME="srv" DEVICE="eth0" HWADDR=AA:00:00:00:00:11 ONBOOT="yes" BOOTPROTO="static" NM_CONTROLLED="yes" DNS1="192.168.2.1" DNS2="192.168.2.2" GATEWAY="192.168.1.254" IPV6INIT="no" IPADDR="192.168.1.1" NETWORK="192.168.1.0" NETMASK="255.255.255.0"
Ajout d'adresses IP supplémentaires
Il peut parfois être nécessaire d'ajouter des adresses IP supplémentaires sur un serveur pour, par exemple, configurer sous Apache HTTP des serveurs virtuels basé sur l'adresse IP.
- Faire une copie du fichier /etc/sysconfig/network-scripts/ifcfg-eth0:
cd /etc/sysconfig/network-scripts/ cp ifcfg-eth0 ifcfg-eth0:0
- Modifier le fichier /etc/sysconfig/network-scripts/ifcfg-eth0:0 pour qu'il ressemble à ceci:
DEVICE="eth0:0" IPADDR="192.168.1.2" NETWORK="192.168.1.0" NETMASK="255.255.255.0" ONBOOT="yes"
- Editer le fichier /etc/sysconfig/network-scripts/ifcfg-eth0 et commenter la ligne suivante:
... #GATEWAY="192.168.1.1" ...
- Redémarrer le service:
service network restart
Fichiers configuration firewall
- /etc/sysconfig/iptables (exemple configuration complète):
# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # ============================================================================== # REQUETES ENTRANTES # ============================================================================== # Accepter toutes les connexions déjà établis -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Accepter les PING -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT # Accepter toutes les requêtes vers l'interface de loopback (127.0.0.1) -A INPUT -i lo -j ACCEPT # Accepter les connexions SSH -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT # Service de synchronisation de l'heure -A INPUT -p udp -m udp -s 192.168.1.0/24 -d 192.168.1.1 --dport 123 -j ACCEPT # Accepter les connexions LDAP -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 --dport 389 -j ACCEPT # Accepter les connexions vers le serveur RADIUS -A INPUT -p udp -m udp -s 192.168.1.0/24 -d 192.168.1.1 --dport 1812 -j ACCEPT -A INPUT -p udp -m udp -s 192.168.1.0/24 -d 192.168.1.1 --dport 1813 -j ACCEPT # Accepter les connexions HTTP -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 80 -j ACCEPT # Accepter les connexions HTTPS -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 443 -j ACCEPT # Accepter les connexions vers Apache Tomcat -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 8080 -j ACCEPT # Accepter les connexions vers Apache Tomcat en SSL -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 8443 -j ACCEPT # Accepter les connexions vers MySQL -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 -d 192.168.1.1 --dport 3306 -j ACCEPT # Service de noms NetBIOS (serveur WINS) -A INPUT -p udp -m udp -s 192.168.1.0/24 --dport 137 -j ACCEPT # Service datagramme NetBIOS -A INPUT -p udp -m udp -s 192.168.1.0/24 --dport 138 -j ACCEPT # Service de session NetBIOS -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 --dport 139 -j ACCEPT # Service microsoft Directory Service -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 --dport 445 -j ACCEPT # Paquets à ne pas tracer -A INPUT -p udp -m udp -d 255.255.255.255 --dport 67 -j REJECT -A INPUT -p udp -m udp -d 255.255.255.255 --dport 68 -j REJECT -A INPUT -d 224.0.0.1 -j REJECT # Trace des paquets rejetes -A INPUT -j LOG --log-level warning --log-prefix "IPTABLES REJECT: " # Rejeter toutes les autres requêtes -A INPUT -j REJECT --reject-with icmp-host-prohibited # ============================================================================== # REQUETES REDIRIGEES (routeur) # ============================================================================== # Pas de routage -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
- Pour lister les règles:
iptables -L INPUT --line-number
- Pour ajouter une nouvelle règle:
iptables -I INPUT 52 -s 90.119.55.150 -j local-network
- Un autre exemple pour ajouter une nouvelle règle:
iptables -I INPUT 63 -p udp --dport 161 -j ACCEPT
- Pour supprimer une règle:
iptables -D INPUT 52
