Red Hat Enterprise Linux 3: Guide de sécurité | ||
---|---|---|
Précédent | Chapitre 6. Réseaux privés virtuels (VPN) | Suivant |
Après avoir réussi à configurer le serveur CIPE et tester sa fonctionnalité, vous pouvez maintenant déployer la connexion sur la machine client.
Le client CIPE doit être capable de connecter et déconnecter la connexion CIPE d'une manière automatique. Ainsi, CIPE contient des mécanismes intégrés pour personnaliser les paramètres pour des utilisations individuelles. Par exemple, un employé distant peut se connecter au périphérique CIPE sur le LAN en tapant la commande suivante :
/sbin/ifup cipcb0 |
Le périphérique devrait automatiquement être trouvé ; les règles de pare-feu et les informations de routage devraient également être configurées avec la connexion. L'employé distant devrait pouvoir terminer la connexion avec la commande suivante :
/sbin/ifdown cipcb0 |
La configuration de clients requiert la création de scripts localisés qui sont exécutés après le chargement du périphérique. La configuration du périphérique, elle-même, peut être effectuée localement par le biais d'un fichier créé par l'utilisateur appelé /etc/sysconfig/network-scripts/ifcfg-cipcb0. Ce fichier contient des paramètres qui déterminent si la connexion CIPE se produit au démarrage et le nom du périphérique CIPE, entre autres. L'exemple suivant est le fichier ifcfg-cipcb0 pour un client distant se connectant au serveur CIPE.
DEVICE=cipcb0 ONBOOT=yes BOOTPROTO=none USERCTL=no # This is the device for which we add a host route to our CIPE peer through. # You may hard code this, but if left blank, we will try to guess from # the routing table in the /etc/cipe/ip-up.local file. PEERROUTEDEV= # We need to use internal DNS when connected via cipe. DNS=192.168.1.254 |
Le périphérique CIPE est nommé cipcb0. Le périphérique CIPE sera chargé au démarrage (configuré par le champ ONBOOT) et n'utilisera pas de protocole de démarrage (par exemple, DHCP) pour recevoir une adresse IP pour le périphérique. Le champ PEERROUTEDEV détermine le nom de périphérique du serveur CIPE qui se connecte au client. Si aucun périphérique n'est spécifié dans ce champ, il sera déterminé après le chargement du périphérique.
Si vos réseaux internes se trouvent derrière un pare-feu, vous devez définir des règles pour permettre à l'interface CIPE sur la machine client d'envoyer et de recevoir des paquets UDP. Consultez le Chapitre 7 pour davantage d'informations sur la configuration d'un pare-feu. Dans cet exemple de configuration, les règles iptables sont implémentées.
![]() | Remarque |
---|---|
Les clients devraient être configurés de telle manière que tous les paramètres localisés soient placés dans un fichier créé par l'utilisateur nommé /etc/cipe/ip-up.local. Les paramètres locaux devraient être repris lorsque la session CIPE est éteinte à l'aide de /etc/cipe/ip-down.local. |
Les pare-feu devraient être configurés sur les machines client de façon à accepter les paquets encapsulés UDP CIPE. Les règles peuvent largement varier, mais l'acceptation de base de paquets UDP est nécessaire pour la connectivité CIPE. Les règles iptables suivantes permettent les transmissions CIPE UDP sur la machine client distante se connectant sur le LAN ; la dernière règle ajoute le masquage IP pour permettre au client distant de communiquer avec le LAN et l'internet :
/sbin/modprobe iptables /sbin/service iptables stop /sbin/iptables -P INPUT DROP /sbin/iptables -F INPUT /sbin/iptables -A INPUT -j ACCEPT -p udp -s 10.0.1.1 /sbin/iptables -A INPUT -j ACCEPT -i cipcb0 /sbin/iptables -A INPUT -j ACCEPT -i lo /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE |
Vous devez également ajouter des règles de routage à la machine client afin d'accéder aux noeuds derrière la connexion CIPE comme si ils étaient sur le réseau local. Cela peut être effectué en exécutant la commande route. Pour notre exemple, le poste de travail client doit avoir la route de réseau suivante :
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.1.2 |
L'exemple suivant montre le dernier script /etc/cipe/ip-up.local pour le poste de travail client :
#!/bin/bash -v if [ -f /etc/sysconfig/network-scripts/ifcfg-$1 ] ; then . /etc/sysconfig/network-scripts/ifcfg-$1 else cat <<EOT | logger Cannot find config file ifcfg-$1. Exiting. EOF exit 1 fi if [ -n ${PEERROUTEDEV} ]; then cat <<EOT | logger Cannot find a default route to send cipe packets through! Punting and hoping for the best. EOT # Use routing table to determine peer gateway export PEERROUTEDEV=`/sbin/route -n | grep ^0.0.0.0 | head -n 1 \ | awk '{ print $NF }'` fi #################################################### # Add The routes for the remote local area network # #################################################### route add -host 10.0.1.2 dev $PEERROUTEDEV route add -net 192.168.1.0 netmask 255.255.255.0 dev $1 #################################################### # IP TABLES Rules to restrict traffic # #################################################### /sbin/modprobe iptables /sbin/service iptables stop /sbin/iptables -P INPUT DROP /sbin/iptables -F INPUT /sbin/iptables -A INPUT -j ACCEPT -p udp -s 10.0.1.2 /sbin/iptables -A INPUT -j ACCEPT -i $1 /sbin/iptables -A INPUT -j ACCEPT -i lo /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE |
Précédent | Sommaire | Suivant |
Configuration du serveur CIPE | Niveau supérieur | Personnalisation de CIPE |