5. Configurations avancées

Contenu de cette section

Je voudrais aborder une configuration particulière avant de refermer ce document. Celle que j'ai soulignée précédemment suffira probablement pour de nombreux cas. Néammoins, je pense que la situation suivante montrera une configuration plus avancée qui éclaircira certains points d'ombre. S'il vous reste des questions après ce que je viens de décrire, ou simplement que l'adaptabilité des serveurs proxy et des firewalls vous intéresse, lisez encore.

5.1 Un grand réseau avec sécurité renforcée

Disons, par exemple, que vous êtes le gourou de la secte de la 23ème Cabale de la Discorde du Milwaukee. Vous souhaitez mettre votre site en réseau. Vous avez cinquante ordinateurs et un sous-réseau de trente-deux adresses IP (sur cinq bits). Vous avez différents niveaux d'accès. Vous dites à vos disciples différentes choses en fonction de leur niveau. Evidemment, vous voudrez protéger certaines parties du réseau des disciples qui n'ont pas acquis un certain niveau.

Avertissement~: Je ne suis pas membre des Discordiens. Je ne connais pas leur terminologie, et en fait, je m'en fiche. Je les utilise seulement à titre d'exemple. Veuillez envoyer toute remarque acerbe à (NdT~: la destination manque dans le texte original).

Les niveaux sont les suivants~:

  1. Le niveau extérieur. C'est celui qui est montré à tout un chacun. En gros, c'est l'histoire et les ragots sur Eris, la divinité de la Discorde, et tout le reste du dogme.
  2. Sage. C'est le niveau des gens qui ont passé le niveau extérieur. C'est là que vous leur dites que la discorde et la structure ne font qu'un, et qu'Eris est aussi Jeovah.
  3. Adepte. C'est là que se trouve le plan réel. Dans ce niveau sont stockées toutes les informations sur la manière dont la Société des Discordiens prendra le pouvoir sur le monde, à l'aide d'un plan déviationniste, mais humoristique, impactant Newt Gingrich, Wheaties Cereal, O.J. Simpson, et cinq cents cristaux, tous marqués "6,5~MHz" par erreur.

La configuration du réseau

Les numéros IP sont arrangés ainsi~:

Puis, deux réseaux séparés sont construits, chacun dans une pièce différente. Ils sont routés par Ethernet infrarouge pour les rendre complètement invisibles de la pièce extérieure. Par chance, l'Ethernet infrarouge fonctionne tout à fait comme l'Ethernet normal (du moins je crois), donc il nous suffit de les considérer comme normaux.

Ces réseaux sont connectés chacun à sa machine Linux avec une adresse IP supplémentaire.

Il y a un serveur de fichiers qui relie les deux réseaux protégés. C'est parce que les plans pour prendre le pouvoir sur le monde prennent en compte certains des sages les plus élevés. Le serveur de fichiers a les adresses 192.0.2.17 pour le réseau des sages et 192.0.2.23 pour le réseau des adeptes. Il doit avoir des adresses IP différentes, car il doit avoir deux cartes Ethernet différentes. La transmission IP y est désactivée.

La transmission IP est aussi désactivée sur les deux machines Linux. Le routeur ne transmettra pas les paquets destinés à 192.0.2.xxx sauf si on lui demande explicitement de le faire, donc l'internet ne pourra pas entrer. La raison de la désactivation de la transmission IP ici est d'empêcher les paquets du réseau des sages d'atteindre le réseau des adeptes, et vice versa.

Le serveur NFS peut aussi être configuré pour présenter différents fichiers aux différents réseaux. Cela peut devenir pratique, et assez astucieux d'utiliser les liens symboliques pour partager les fichiers communs. Cette configuration associée à une autre carte Ethernet peut ainsi permettre l'usage d'un seul serveur de fichiers pour les trois réseaux.

La configuration proxy

Maintenant, puisque les trois niveaux doivent être capables de piloter le réseau pour leurs propres besoins déviationnistes, tous les trois ont besoin d'un accès internet. Le réseau extérieur est connecté directement à celui-ci, donc nous n'avons pas à nous préoccuper d'un serveur proxy ici. Les réseaux des sages et des adeptes sont derrière des firewalls, il est donc nécessaire de leur configurer des serveurs proxy.

Les deux réseaux seront configurés de manière similaire. Tous deux ont les mêmes adresses IP assignées. Je vais ajouter quelques paramètres, afin de rendre les choses encore plus intéressantes.

  1. Personne ne peut utiliser le serveur de fichiers pour l'accès internet. Cela exposerait le serveur de fichiers aux virus et autres choses désagréables, et il est très important, donc il est derrière les limites.
  2. Nous ne voulons pas donner aux sages l'accès au World Wide Web. Il sont encore en entraînement, et cette puissance de recherche d'informations peut se révéler dangereuse.
Ainsi, le fichier sockd.conf de la machine Linux des sages contiendra cette ligne~: 
deny 192.0.2.17 255.255.255.255
Et sur la machine des adeptes~: 
deny 192.0.2.23 255.255.255.255
Et la machine Linux des sages contiendra cette ligne~: 
deny 0.0.0.0 0.0.0.0 eq 80
Cela indique l'interdiction d'accès pour toutes les machines tentant d'accéder au port 80, le port http. Cela laisse l'accès à tous les autres services, et interdit juste l'accès Web.

Ensuite, les deux fichiers auront~: 

permit 192.0.2.0 255.255.255.0
pour permettre à tous les ordinateurs du réseau 192.0.2.xxx d'utiliser ce serveur proxy sauf pour ceux à qui cela a déjà été interdit (ie. le serveur de fichiers et l'accès Web pour le réseau des sages).

Le fichier sockd.conf du réseau des sages aura l'allure suivante~: 

deny 192.0.2.17 255.255.255.255

deny 0.0.0.0 0.0.0.0 eq 80

permit 192.0.2.0 255.255.255.0

et le fichier des adeptes aura celle-ci~: 

  deny 192.0.2.23 255.255.255.255

  permit 192.0.2.0 255.255.255.0

Cela doit tout configurer correctement. Chaque réseau est isolé comme il faut, avec le niveau d'interaction approprié. Chacun peut être heureux. Maintenant, cherchez vos cristaux 6,5~MHz.

Chapitre Précédent

Table des matières de ce chapitre, Table des matières générale

Début du document, Début de ce chapitre