Bonjour,
> Très intéressant, merci pour le retour, à lire en détail plus tard.
Tant mieux.
> 2 questions:
>
> - Combien de temps il a fallu pour configurer le PC / Proxy ?
Tout dépend si on a l'habitude. Je confesse que je l'avais
pas mal perdue ;-) Cela ne va pas chercher loin en tout cas.
Pour qqn qui sait, ca doit prendre qqs heures, voire moins
si on fait cela toute la journée.
La liste des fichiers dans /etc modifiés est qqch comme
./sysctl.conf
./hosts
./default/isc-dhcp-server
./bind/named.conf.options
./bind/named.conf.local
./bind/zone.anf2014.org
./dhcp/dhcpd.conf
./squid3/squid.conf
./network/interfaces
./apt/sources.list
./resolv.conf
Ci-dessous les notes que j'ai prises (j'ai zappé la partie liée à
nos propres applicatifs métier)
- merci aux geek++ de ne pas se moquer !
- j'ai essayé de voir si cela avait un sens de faire
proxy-cache sur HTTPS (because par ex. Google)
mais je n'ai pas réussi et su si cela avait un sens - cf les notes
> Ceci m'étonne un peu. Chaque canal consomme 22 Mhz donc en fait le spectre de
> 5, donc le haut du canal 1 bouffe dans l'assiette du bas du canal 5.
> J'ai toujours cru qu'il n'y avait que 3 canaux en 2.4 Ghz : 1, 6 et 11.
> Est-ce que les canaux Français sont différents des nôtres ?
Ah merci bien ! Je croyais qu'une répartition 1, 5 et 9 était OK. Mea culpa
donc. Je note soigneusement cette information.
Bien cordialement,
Joel Marchand
*/ comptes
==========
- changement du pw de root
- création du compte huma-num
*/ réseau
=========
- /etc/network/interfaces
- /etc/resolv.conf : usage des DNS publics de Google 8.8.8.8 et 8.8.4.4
*/ système
==========
- /etc/apt/sources.list
- apt-get update && apt-get upgrade
*/ paquets utiles pour le contexte
==================================
- apt-get install lsof tcpdump wireshark ipcalc host firefox apache2
*/ paquets pour avoir le même environnement bureautique que sur mon PC
======================================================================
- apt-get install mutt msmtp urlview antiword xpdf mailutils
- apt-get install links w3m lynx html2text
- apt-get install texlive-latex-base latex-beamer texlive-latex-extra
texlive-lang-french texlive-fonts-recommended
- apt-get install libreoffice
*/ config Squid
===============
- apt-get install squid3
- service squid3 stop
- mkdir /srv/squid3
- chown proxy:proxy /srv/squid3
- modif de /etc/squid3/squid.conf sur la base du fichier de l'Obs.
- squid3 -z
- service squid3 start
*/ config DHCP
==============
- apt-get install isc-dhcp-server
- modif de /etc/dhcp/dhcpd.conf
- usage des DNS publics de Google 8.8.8.8 et 8.8.4.4
*/ config iptables
==================
- # pour le NAT de eth1 vers eth0
iptables -t nat -A POSTROUTING -s 10.42.0.0/24 -j MASQUERADE
- # pour forcer le passage via Squid depuis eth1
iptables -t nat -A PREROUTING -i eth1 -s 10.42.0.0/24 -p tcp --dport
80 -j REDIRECT --to-port 3128
- mise dans /etc/rc.local pour chargement au boot
*/ serveur TFTP
===============
- apt-get install atftpd atftp
-> le dossier d'échange est en /srv/tftp
- mise en place de la sauvegarde de la première borne
alias exec saveconf copy running-config tftp://10.42.0.1/borne1.conf
- NB : on peut prendre la main sur la borne par
ssh [email protected]
Password : idem
*/ Squid pour HTTPS
===================
- nativement le paquet Debian n'est pas compilé avec l'option
enable-ssl
NB : idem sur Ubuntu
natif par défaut sur CentOS/Scientific Linux
- suppression du paquet
sauv. de la config squid.conf réalisée précédemment
service squid3 stop
apt-get -y purge squid-cgi squid3 squid3-common squid3-dbg
squidclient
- suivre les indications de
http://www.mercereau.info/serveur-proxy-squid3-avec-ssl-rebuild-debian-squeeze-package/
http://labs.zentyal.org/https-transparent-proxy-in-zentyal/
- installation de paquets
apt-get install devscripts build-essential fakeroot libssl-dev
- préparation des sources
cd /usr/src
apt-get source squid3
apt-get build-dep squid3
- modification pour activation SSL
cd /usr/src/squid3-3.*
vi debian/rules
- compilation
./configure
debuild -us -uc -b
- installation
cd ..
apt-get -y install squid-langpack
dpkg -i *.deb
- génération du certificat
mkdir /etc/squid3/ssl
cd /etc/squid3/ssl
openssl genrsa -des3 -out privkey.pem 2048
openssl req -new -x509 -nodes -key privkey.pem -out cacert.pem
-days 3650
openssl rsa -in privkey.pem -out privkey_noPwd.pem
- moyennant la régle
iptables -t nat -A PREROUTING -i eth1 -s 10.42.0.0/24 -p tcp --dport
443 -j REDIRECT --to-port 3130
et une modif dans squid.conf, cela fonctionne, mais cela produit une
erreur sur tous
les sites pour cause de certificats incorrects
- il semble qu'il y ait des solutions, mais cela semble
- compliqué
- de ttes facons, mal au niveau déontologie
- pas sûr que cela fasse cache, qui est la fonction recherchée
-> abandon
*/ modem/routeur 4G Huawei
==========================
- suppression des services
DHCP
WiFi
- activation du lien Internet par achat d'une carte prépayée
http://boutique.orange.fr/rechargement-carte-prepayee-forfait-bloque
de 3 Go pour 6 mois via la CB de l'unité
- rem1 : si le PC routeur a été client DHCP du routeur 4G,
cela a pollué /etc/resolv.conf et /etc/hosts. Tant que le ménage
n'y est pas fait, la connexion par SSH depuis un PC client
derrière le PC routeur est très lente
- rem2 : pour pouvoir accéder par Firefox (depuis un PC client
ou depuis le PC routeur) au routeur 4G, il *faut* utiliser
le DNS du dit routeur 4G (192.168.1.1) pour que le nom
homerouteur.cpe
soit résolu
*/ cache DNS
============
- cf http://www.lex-web.net/using-bind-as-a-local-dns-proxy/
- apt-get install bind9 dnsutils bind9-doc resolvconf ufw
- édition de
/etc/bind/named.conf.options
/etc/resolv.conf
/etc/dhcp/dhcpd.conf
- commandes de supervision
rndc querylog -> /var/log/syslog
rndc stats -> /var/cache/bind/named.stats
rndc dumpdb -> /var/cache/bind/named_dump.db
- création de la zone anf2014.org
/etc/bind/named.conf.local
/etc/bind/zone.anf2014.org
*/ Post-install une fois en production
======================================
- test de gros transferts
apt-get install vim curl
- monitoring MRTG
-
http://www.pc-fute.com/materiel/guides-monitorer-son-serveur-linux-avec-mrtg,119.html
- http://cobecoballes-linux.blogspot.fr/2010/07/mrtg-server.html
- apt-get install snmp mrtg snmpd
--
Très Grande Infrastructure de Recherche Huma-Num - CNRS UMS 3598
3ème étage - bureau 372 - CS n°71345
190-198 avenue de France - 75648 PARIS CEDEX 13
Tél : 01 49 54 83 09 - http://www.huma-num.fr/personne/joel-marchand
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
