User Tools

Site Tools


projets:fuz:sonic

Sonic : services internet FUZ

Goals

  • Avoir un serveur/routeur au FUZ pour héberger des services locaux et internet

Ressources

  • heu, internet?

Roadmap

  • Arrivée de la fibre
  • Test pour se passer de la livebox
  • installation du serveur (base sonicemotion)
  • Upgrade vers Debian 11 Bullseye
  • Fix le RDNS sonic.fuz.re qui pointe toujours rue de la Réunion

Installation

Cette section décrit l'installation initiale.Depuis, beaucoup de choses ont changé, par exemple sonic est aujourd'hui en Debian 10 Buster.

  1. Installation debian stretch (amd64)
  2. Ajout des paquets ppp vlan (et vim bash-completion etc)
  3. Ajout du fichier /etc/udev/rules.d/70-persistent-net.rules pour avoir des noms de périphérique réseau compréhensibles :
    # Port du haut
    SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:25:90:3b:e5:b2", ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="*", NAME="wan0"
    # Port du bas
    SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:25:90:3b:e5:b3", ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="*", NAME="lan0"
  4. Ajout du chargement automatique du module vlan au démarrage :
    # /etc/modules: kernel modules to load at boot time. 
    # 
    # This file contains the names of kernel modules that should be loaded 
    # at boot time, one per line. Lines beginning with "#" are ignored. 
    8021q
  5. Ajout du fichier /etc/ppp/peers/orange qui définit la connexion à établir :
    user "fti/******"
    
    pty "/usr/sbin/pppoe -I wan0.835 -T 80 -m 1452"
    noipdefault
    defaultroute
    hide-password
    replacedefaultroute
    persist
    noauth
    usepeerdns
    lcp-echo-interval 20
    lcp-echo-failure 3
    plugin rp-pppoe.so wan0.835
    default-asyncmap
    noaccomp
    mtu 1492

    et la ligne avec le mot de passe correspondant au login utilisé dans /etc/ppp/pap-secrets et chap-secrets

  6. Configuration du réseau dans /etc/network/interfaces
    auto wan0 wan0.835 ppp0 lan0
    
    iface wan0 inet manual
    iface wan0.835 inet manual
    
    iface ppp0 inet ppp
    	provider orange
    
    iface lan0 inet static
    	address 192.168.42.1/24
  7. Ajout des règles netfilter dans un fichier /etc/netfilter.sh
    #!/bin/bash
     
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts		#Drop ICMP echo-request messages sent to broadcast or multicast addresses 
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route	#Drop source routed packets
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies			# Enable TCP SYN cookie protection from SYN floods
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects		# Don't accept ICMP redirect messages
    echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects		# Don't send ICMP redirect messages
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter			# Enable source address spoofing protection
    echo 1 > /proc/sys/net/ipv4/conf/all/log_martians		# Log packets with impossible source addresses
     
    # Flush all chains
    iptables --flush
    ip6tables --flush
    # stop routing
    echo 0 > /proc/sys/net/ipv4/ip_forward
    # Flush
    iptables -F 
    iptables -t nat -F
     
    OUT="ppp0"
    echo "Utilisation de $OUT"
     
    # Allow unlimited traffic on the loopback interface
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    /sbin/iptables -A OUTPUT -o lo -j ACCEPT
     
    # Accepte les paquets des sessions deja etablies
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Allow unlimited outbound traffic
    /sbin/iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
     
     
     
    # Disallow NEW and INVALID incoming or forwarded packets from $OUT.
    iptables -A INPUT -i $OUT -m state --state NEW,INVALID -j DROP
     
    iptables -t nat -A POSTROUTING -o $OUT -j MASQUERADE
    iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    # Turn on IP forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward

    Sans oublier de le rendre exécutable chmod a+x /etc/netfilter.sh

  8. Configurer le serveur DHCP /etc/dhcp/dhcpd.conf :
    option domain-name "fuz.re";
    Option domain-name-servers 80.67.169.12, 80.67.169.40; # https://www.fdn.fr/actions/dns/
    
    ## LAN0
    subnet 192.168.42.0 netmask 255.255.255.0 {
            range 192.168.42.42 192.168.42.254;
            option subnet-mask 255.255.255.0;
            option broadcast-address 192.168.42.255;
            option routers 192.168.42.1;
    }

Relancer tout !

À suivre : configuration exim4/mailman/lighttpd/let'encrypt/…

Follow-up

  • Project created on Sun 12-05-19 by Fabien
projets/fuz/sonic.txt · Last modified: 2022-11-09 20:32 by ToM