teach/adlin
Archived
0
0
Fork 0
Code Issues 1 Pull Requests 4 Releases Activity

Fix typo with grammalecte
Some checks are pending
continuous-integration/drone/push Build is running
Details

Browse Source
This commit is contained in:
nemunaire 2022-05-12 03:14:29 +02:00
parent d6a776b2a2
commit c14757e3b3
11 changed files with 72 additions and 72 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

12
tutorial/ansible/ansible.md
View File

@ -18,7 +18,7 @@ Introduction à Ansible
Ansible est une solution de gestion de configuration. Basé sur
[Python](https://www.python.org/) et
[YAML](http://www.yaml.org/spec/1.2/spec.html), sa principale particularité est
de ne pas nécessité de daemon sur les machines qu'il va gérer : tout se fait
de ne pas nécessiter de daemon sur les machines qu'il va gérer : tout se fait
exclusivement via SSH, à partir de la machine d'un administrateur, possédant
Ansible (ou bien d'un système de gestion de configuration tel qu'[Ansible
Tower](https://www.ansible.com/products/tower) ou
@ -65,8 +65,8 @@ Pour réaliser cela, vous êtes autorisé à faire usage du module
:::::
Mon première commande
---------------------
Ma première commande
--------------------
### Inventaire
@ -225,7 +225,7 @@ d'Ansible](http://docs.ansible.com/ansible/latest/playbooks.html).
### Exécution d'un *Playbook*
Placer le contenu dans un fichier YAML, par exemple `playbook.yml`, non loin du
fichier `hosts` créé à la section précédentes, puis lancez :
fichier `hosts` créé à la section précédente, puis lancez :
<div lang="en-US">
```bash
@ -263,7 +263,7 @@ La création de l'utilisateur se fait à l'aide du module
disposition](https://docs.ansible.com/ansible/latest/collections/index.html)
de copier vos fichiers de configuration à leur place et avec les bons droits
(`authorized_keys`, `.bashrc`, ...). Installez également les paquets que vous
aviez installé à la main (client DHCP, `htop`, ...).
aviez installés à la main (client DHCP, `htop`, ...).
Les notifications
@ -271,7 +271,7 @@ Les notifications
Au sein d'un *playbook*, il est possible de définir des tâches particulières
(nommées *handlers* dans le vocabulaire Ansible), qui ne seront exécutées que
si un changement à eu lieu. Par exemple, nous pourrions déclarer une tâche de
si un changement a eu lieu. Par exemple, nous pourrions déclarer une tâche de
redémarrage du serveur web, seulement lorsque sa configuration est mise à
jour.

10
tutorial/ansible/deploiement-svc.md
View File

@ -7,16 +7,16 @@ Très bien ! vous semblez avoir compris le fonctionnement de notre
gestionnaire de configuration.
Après cet échauffement, vous devriez être prêt à créer un *playbook*
dédié à l'installation d'un serveur [Matrix](https://matrix.org/) :
dédié à l'installation d'un serveur [Matrix](https://matrix.org/) :
![Element : un des clients utilisable pour joindre son serveur Matrix](riot.png)
![Element : un des clients utilisable pour joindre son serveur Matrix](riot.png)
Vous connaissez et utilisez sans doute Discord ou Slack, un service de messagerie
instantannée qui a supplanté IRC, Jabber, ... Il vient avec le gros
inconvénient qu'il est centralisé, qu'il ne permet pas de faire discuter des
personnes qui, bien qu'utilisant le même service, ne sont pas dans le même
groupe ; mais surtout, il vient avec aucun élément de sécurité : il n'est en
groupe ; mais surtout, il vient avec aucun élément de sécurité : il n'est en
effet pas possible d'avoir de chiffrement de bout-en-bout, entre deux personnes
ou un groupe, et les administrateurs des groupes, tout comme le gouvernement
américian, ont accès à tout l'historique. Vous l'aurez compris, Matrix est donc
@ -83,7 +83,7 @@ Vous devrez générer un certificat TLS afin de joindre les autres serveurs.\
::::: {.warning}
À aucun moment la clef privée de votre certificat ne doit faire parti de votre
À aucun moment la clef privée de votre certificat ne doit faire partie de votre
dépôt. Dans certaines circonstances, il peut être pratique d'avoir cette clef
dans un *vault*, mais ici ce que l'on attend c'est que le certificat soit
généré s'il n'existe pas déjà ou qu'il a expiré. Éventuellement, une solution
@ -115,4 +115,4 @@ Pour valider l'installation de votre serveur, rejoignez le canal
`#adlin:nemunai.re` et envoyez un message « Ping ! » pour signaler votre
présence.
Vous devriez également pouvoir tester en communiquant entre-vous.
Vous devriez également pouvoir tester en communiquant entre vous.

12
tutorial/ansible/maatma.md
View File

@ -11,13 +11,13 @@ d'accès à une plage d'IPv6 routable sur Internet.\
Ce service vous est proposé à titre éducatif. Vous savez
combien Internet peut être un milieu hostile, il est donc de votre devoir de ne
pas tenter le diable et de prendre toutes les mesures qui s'imposent pour vous
protéger en conséquence. D'autre part, il va de soit que ce service vous est
protéger en conséquence. D'autre part, il va de soi que ce service vous est
fourni en échange de votre consentement à ne pas l'utiliser d'une manière
condamnable (mais libre à vous de tester la plate-forme en elle-même).
:::::
L'interface de Maatma est accessible à cette adresse :
L'interface de Maatma est accessible à cette adresse :
<https://adlin.nemunai.re/maatma/>. Utilisez votre identifiant CRI pour vous y
connecter.
@ -29,7 +29,7 @@ Le système d'information que vous allez avoir à gérer aujourd'hui est très
restreint, car il ne se compose que d'une seule machine !
Cette semaine, nous allons installer et configurer plusieurs services sur cette
machine. Pour rendre les choses un peu plus attrayante, une fois démarrée,
machine. Pour rendre les choses un peu plus attrayantes, une fois démarrée,
votre machine est automatiquement accessible depuis Internet.
L'image ISO que vous avez récupérée met à votre disposition un système Debian
@ -49,7 +49,7 @@ afin de mettre en place le tunnel IPv6.
Afin d'en obtenir un, rendez-vous sur la [page
Tunnels](https://adlin.nemunai.re/maatma/tunnels) et créez un nouveau
tunnel. Un jeton de 10 caractères s'affichera alors, c'est celui que
vous devrez recopier dans le terminal (attention à la casse !).
vous devrez recopier dans le terminal (attention à la casse !).
### Test du tunnel
@ -74,7 +74,7 @@ avoir à connaître son IP.
Dans un deuxième temps, nous verrons comment tirer parti de la délégation. Vous
pouvez l'ignorer pour le moment.
Notez que vous ne disposez pas d'IPv4 publique (c'est à dire routable sur
Notez que vous ne disposez pas d'IPv4 publique (c'est-à-dire routable sur
Internet), vous disposez seulement d'une IPv6 publique. L'ensemble de vos
services sont cependant accessibles également en IPv4, car Maatma centralise
les requêtes faites en IPv4 et les distribue entre vos IPv6, lorsque le
@ -82,7 +82,7 @@ protocole permet de faire cette distribution. Par exemple, HTTP et HTTPS le
permette, mais pas SSH. Vous ne pourrez donc pas vous connecter en SSH via
l'IPv4 de Maatma.
Voici un schéma reprenant ces explications :
Voici un schéma reprenant ces explications :
![Schéma du tunnel mis en place par Maatma](maatma-tun.png)

22
tutorial/ansible/nameserver.md
View File

@ -4,7 +4,7 @@ Délégation de nom de domaine
============================
La deuxième solution proposée par Maatma est une délégation de nom de domaine.
Alors que jusque là, c'était les serveurs DNS de Maatma qui répondaient aux
Alors que jusque-là, c'était les serveurs DNS de Maatma qui répondaient aux
requêtes DNS, avec la délégation, ce sera à vous, dans votre VM, de répondre
aux requêtes venues tout droit d'Internet.
@ -15,7 +15,7 @@ Voici les grandes étapes :
* configurer ce serveur pour qu'il réponde effectivement aux requêtes de votre zone ;
* tester avec `dig @votreIPv4locale ANY login-x.srs.example.tld` que votre serveur réagit bien correctement ;
* publier sur Maatma le nom de domaine où votre serveur de nom est joignable (généralement `ns.login-x.srs.example.tld`), il s'agit d'un enregistrement `NS` ;
* publier également sa *GLUE*, afin de résoudre le problème de poule et d'œuf (le domaine de votre serveur de noms étant dans la zone qu'il est sensé servir, le bureau d'enregistrement enverra également l'IP correspondant au domaine) ;
* publier également sa *GLUE*, afin de résoudre le problème de poule et d'œuf (le domaine de votre serveur de noms étant dans la zone qu'il est censé servir, le bureau d'enregistrement enverra également l'IP correspondant au domaine) ;
* tester avec `dig @9.9.9.9 AAAA login-x.srs.example.tld` que votre serveur est bien joignable.
Un ouvrage de référence, qui répondra à l'intégralité de vos questions et manières d'utiliser votre serveur DNS se trouve à <http://www.zytrax.com/books/dns/>.
@ -23,9 +23,9 @@ Un ouvrage de référence, qui répondra à l'intégralité de vos questions et
## Coller aux spécifications
Pourquoi une telle complexité apparente pour déléguer une zone DNS ?
Pourquoi une telle complexité apparente pour déléguer une zone DNS ?
Vous êtes sur le point d'obtenir le contrôle total d'un domaine :
Vous êtes sur le point d'obtenir le contrôle total d'un domaine :
`login-x.srs.example.tld.`. Cela signifie que vous allez pouvoir décider,
depuis votre propre serveur de noms (respectueux des
[standards](https://www.ietf.org/rfc/rfc1034.txt)), comment vous allez
@ -34,7 +34,7 @@ répondre aux serveurs résolveurs des utilisateurs.
Le protocole DNS étant décentralisé, mais basé sur une arborescence
unique, il est nécessaire que les serveurs faisant autorité sur une
zone (`fr.`, `srs.example.tld.`, ...) fournissent toutes les informations
nécessaire pour que cette délégation fonctionne.
nécessaires pour que cette délégation fonctionne.
À cet instant, vous connaissez l'adresse IPv6 routable sur Internet de votre
serveur de noms (comme vous n'avez aujourd'hui qu'une seule machine, c'est
@ -50,7 +50,7 @@ faire.
Dans le cas basique, on va utiliser les serveurs de quelqu'un d'autre (d'un
hébergement spécialisé par exemple, ou celui de son bureau d'enregistrement
s'ils proposent ce service). Auquel cas, on fera figurer ce genre
d'informations :
d'informations :
<div lang="en-US">
```
@ -79,7 +79,7 @@ autorité.
Mais dans votre cas, vous hébergez vous-même votre propre serveur au sein de
votre zone, vous n'avez pas d'autre domaine à votre disposition. C'est
également le cas de Wikipédia :
également le cas de Wikipédia :
<div lang="en-US">
```
@ -103,9 +103,9 @@ On voit ici que pour résoudre les sous-domaines de `wikipedia.org.`, il faut
demander à `nsX.wikimedia.org.`. Mais comment obtenir alors, l'adresse de ces
serveurs de noms, puisque l'on ne sait pas où les contacter ...!
C'est là que les *GLUE records* entrent en jeu !
C'est là que les *GLUE records* entrent en jeu !
J'ai volontairement tronqué la sortie de la commande précédente, en entier, c'est :
J'ai volontairement tronqué la sortie de la commande précédente, en entier, c'est :
<div lang="en-US">
```
@ -149,7 +149,7 @@ domaine votre serveur de noms, ainsi que le *GLUE record* qui lui correspond.
Maatma met à votre disposition une plage d'IPv6 publique, directement
routable sur Internet. Mais aujourd'hui encore, de nombreuses
installation ne disposent pas de ce protocole de communication et ne
installations ne disposent pas de ce protocole de communication et ne
peuvent accéder aux machines connectées en IPv4 seulement.
Pour palier cela, Maatma met à votre disposition une IPv4 mutualisée
@ -173,4 +173,4 @@ permettant d'indiquer vos clefs publiques.
De nombreux articles sont disponibles sur Internet pour vous permettre de
configurer DNSSEC en fonction du serveur autoritaire que vous aurez choisi. À
vous de jouer !
vous de jouer !

8
tutorial/ansible/setup.md
View File

@ -146,7 +146,7 @@ contrôleurs de disques.
### Pont réseau // switch virtuel
Un pont réseau va nous permettre de faire communiquer entre-elles plusieurs
Un pont réseau va nous permettre de faire communiquer entre elles plusieurs
interfaces (qu'elles soient physiques ou virtuelles).
Pour créer un nouveau pont, on utilise la commande `ip` comme suit :
@ -189,7 +189,7 @@ machine hôte sur ce réseau virtuel.
Il est tout à fait possible d'ajouter une interface réseau physique à un pont,
et c'est sans doute la méthode la plus simple pour que les machines virtuelles
puissent accéder à internet : si le réseau local de la machine hôte fourni des
puissent accéder à internet : si le réseau local de la machine hôte fournie des
adresses IP par DHCP à toute machine rejoignant le réseau.
@ -214,7 +214,7 @@ de réaliser cette authentification dans chaque machine virtuelle.
Il convient alors ici d'avoir un pont *host-only networking*. Dans cette
configuration, les machines virtuelles obtiendront une IP via un serveur DHCP
lancé sur l'hôte et pourront donc communiquer entre-elles et avec l'hôte, sur
lancé sur l'hôte et pourront donc communiquer entre elles et avec l'hôte, sur
un réseau privé.
<div lang="en-US">
@ -241,7 +241,7 @@ Démarrer la machine virtuelle
::::: {.more}
Comme pour la section précédentes, les exemples sont donnés pour `qemu`. Ils
Comme pour la section précédente, les exemples sont donnés pour `qemu`. Ils
sont à adapter en fonction de votre hyperviseur. Avec `qemu`, les exemples sont
à combiner avec la ligne de commande établie précédemment, il faut accumuler
les arguments avant de lancer la machine virtuelle.

6
tutorial/ansible/vitrine.md
View File

@ -3,7 +3,7 @@
Vitrine
=======
Vitrine sécurisée ?
Vitrine sécurisée ?
-------------------
Avant de commencer votre travail, il est important de mettre en place
@ -17,7 +17,7 @@ suffisamment durcies. Pensez à noter vos changements, vous devrez les
reporter dans un fichiers au chapitre suivant !
À ce stade, vous devez suivre les recommandations de l'ANSSI que vous
jugez adaptées à votre déploiement :
jugez adaptées à votre déploiement :
<https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/>
@ -40,7 +40,7 @@ Compte tenu [des limitations
imposées](https://letsencrypt.org/docs/rate-limits/), vous ne pourrez pas tous
en créer un aujourd'hui, mais n'hésitez pas à retenter un peu plus tard dans la
semaine. Vous pouvez également obtenir vos certificats depuis de nombreux
autres services gratuits similaire : [ZeroSSL](https://zerossl.com/),
autres services gratuits similaire : [ZeroSSL](https://zerossl.com/),
[buypass](https://www.buypass.com/), ...\
D'ailleurs, si vous disposez de votre propre nom de domaine et que vous

24
tutorial/nat/netfilter.md
View File

@ -11,7 +11,7 @@ facilement[^facilement].
[^facilement]: Si vous préférez, ce TP existe aussi en utilisant une simple
distribution Debian comme routeur. C'est tout aussi efficace et les mêmes
technologies sont en jeu. Demandez à votre professeur l'ISO si vous êtes
intéressés !
intéressés !
Au sein du noyau Linux, le [projet `netfilter`](https://netfilter.org/) est
l'implémentation de pare-feu standard. Il s'agit d'un mécanisme de filtrage des
@ -21,7 +21,7 @@ manière historique `iptables`.
Les deux projets ont une manière de fonctionner très similaire, mais il est
important de ne pas les utiliser en même temps, sous peine de voir apparaître
des problèmes incompréhensible à déboguer, plus ou moins aléatoirement.
des problèmes incompréhensibles à déboguer, plus ou moins aléatoirement.
## Réseau fonctionnel ?
@ -66,7 +66,7 @@ Test à passer :
</div>
Vous pouvez utiliser, par exemple `tcpdump`, pour comprendre ce qu'il se passe
sur votre routeur :
sur votre routeur :
<div lang="en-US">
```
@ -83,7 +83,7 @@ configuration, afin qu'il tente à nouveau de contacter un serveur de noms pour
faire une résolution. C'est un comportement normal.\
Si vous êtes impatient, vous pouvez aussi vous connecter sur la machine
hébergeant le résolveur afin de le redémarrer manuellement :
hébergeant le résolveur afin de le redémarrer manuellement :
```sh
router$ ssh root@ns
@ -95,7 +95,7 @@ resolvsrv$ service unbound restart
## Accéder aux autres serveurs du parc
Depuis le routeur, vous pouvez vous SSH en utilisant le nom d'hôte attribué aux
machines :
machines :
<div lang="en-US">
- `ssh root@matrix`
@ -106,7 +106,7 @@ machines :
Depuis l'extérieur, vous devez utiliser le routeur comme *bastion*. Avec SSH,
utilisez l'option `-J` pour désigner une machine intermédiaire qui servira à
accéder à la machine cible :
accéder à la machine cible :
<div lang="en-US">
```
@ -126,12 +126,12 @@ accessibles sur Internet.
En utilisant une règle de `netfilter`, rendez vos trois serveurs web accessibles
depuis l'interface externe du routeur. Après configuration, depuis un
navigateur sur votre poste, vous devriez pouvoir accéder à :
navigateur sur votre poste, vous devriez pouvoir accéder à :
<div lang="en-US">
* `http://$EXT_ROUTER_IP:8000/` : Vitrine
* `http://$EXT_ROUTER_IP:8080/` : Miniflux
* `http://$EXT_ROUTER_IP:8008/` : Matrix
* `http://$EXT_ROUTER_IP:8000/` : Vitrine
* `http://$EXT_ROUTER_IP:8080/` : Miniflux
* `http://$EXT_ROUTER_IP:8008/` : Matrix
</div>
::::: {.warning}
@ -148,8 +148,8 @@ votre propre installation, avec l'IPv4 donné par l'interface `eth0`.
Utilisez le nom d'utilisateur `adeline` pour vous connecter à
miniflux. N'oubliez pas de changer le mot de passe avant que quelqu'un
d'autre s'en charge à votre place !
d'autre s'en charge à votre place !
Si vos serveurs ont bien accès à Internet, vous pourrez mettre à jour
la liste des flux pré-enregistrés dans miniflux, afin de faire un peu
de veille !
de veille !

10
tutorial/nat/revproxy.md
View File

@ -6,7 +6,7 @@ Reverse-proxy
Plusieurs services sur un port ?
--------------------------------
Sur Internet, rare sont les IP qui n'hébergent qu'un seul service. Très
Sur Internet, rares sont les IP qui n'hébergent qu'un seul service. Très
souvent, une armée de serveurs est placée derrière, comme ici, et permet de
distribuer plusieurs services sur la même IP, sans que les utilisateurs n'aient
à changer leur port de connexion.
@ -16,7 +16,7 @@ accédé. Cependant, les protocoles IP, TCP ou UDP ne transportent pas cette
information. C'est donc dans la couche applicative que le nom de domaine est
passé.
Par exemple, vous pouvez observer ce comportement facilement avec `curl` :
Par exemple, vous pouvez observer ce comportement facilement avec `curl` :
<div lang="en-US">
```
@ -38,7 +38,7 @@ serveur web (généralement ici utilisé comme proxy inverse) oriente la
distribution de son contenu en fonction de cet en-tête.
[^https]: En HTTPS, le certificat est distribué avant que le client n'ait pu
envoyé de contenu. Le nom est alors passé dans un champ d'extension de
envoyer de contenu. Le nom est alors passé dans un champ d'extension de
TLS. Voir le [RFC 6066](https://tools.ietf.org/html/rfc6066) à propos de
SNI.
@ -47,7 +47,7 @@ permettre d'accéder aux différents services, sur le port 80.
En utilisant le résolveur local, vous pouvez vérifier le fonctionnement de
votre reverse-proxy avec (soit sur une station de travail, soit sur le routeur
directement) :
directement) :
<div lang="en-US">
```sh
@ -74,7 +74,7 @@ Maintenant que vos services écoutent en HTTP, il est temps de leur
ajouter un certificat, afin que toutes les connexions soient
sécurisées.
Plusieurs solutions s'offrent à vous dans ce genre de situation :
Plusieurs solutions s'offrent à vous dans ce genre de situation :
- laisser le reverse-proxy établir les connexions TLS (en envoyant
notamment le certificat), puis transmettre les paquets reçus et

26
tutorial/nat/what.md
View File

@ -7,7 +7,7 @@ Présentation du système d'information
-------------------------------------
Le système d'information que vous allez avoir à gérer aujourd'hui est de taille
moyenne. Vous aurez en votre possession :
moyenne. Vous aurez en votre possession :
- un serveur DNS résolveur,
- un serveur DNS faisant autorité,
@ -41,8 +41,8 @@ routeur et le contenu de la base de données persistent.
Accéder à la machine virtuelle
------------------------------
Une fois la machine virtuelle démarrée, vous devriez voir apparaître l'IP qu'à
obtenue la machine sur votre réseau :
Une fois la machine virtuelle démarrée, vous devriez voir apparaître l'IP qu'a
obtenu la machine sur votre réseau :
```
You didn't define your token to connect the network. Please run here `join-maatma` and then reboot.
@ -71,7 +71,7 @@ avec celle-ci.
Pour retrouver votre tunnel sur Internet, vous devez, dans la console de la
machine virtuelle, utiliser la commande `join-maatma`.
Vous pouvez aussi écrire directement dans le fichier persistant :
Vous pouvez aussi écrire directement dans le fichier persistant :
<div lang="en-US">
```
@ -100,12 +100,12 @@ Objectif du TP
Toutes les IP notées sur le schéma ont déjà été configurées par votre
administrateur système en suivant vos instructions. Votre tâche est de rendre
accessible les services web sur internet ainsi qu'aux stations de
travails. Tout le monde doit avoir accès à internet et utiliser le serveur de
travail. Tout le monde doit avoir accès à internet et utiliser le serveur de
noms local (les serveurs ayant déjà été configurés ainsi, il faudra simplement
s'assurer que ce soit également le cas des stations de travail).
Étant donné le caractère éphémère de vos actions, la réalisation d'un
*Playbook* Ansible semble plutôt adaptée !
*Playbook* Ansible semble plutôt adaptée !
### Mots de passes
@ -113,7 +113,7 @@ s'assurer que ce soit également le cas des stations de travail).
Tous les mots de passes initiaux sont `adlin2023`, pour tous les services.
3 bases de données Postgres sont à votre disposition pour vos différents
services :
services :
- `matrix`
- `miniflux`
@ -122,10 +122,10 @@ services :
Pour chacune, un utilisateur du même nom existe pour s'y connecter à distance.
Au secours ça ne marche pas !
Au secours ça ne marche pas !
-----------------------------
Pas de panique !
Pas de panique !
Quelques commandes sont à votre disposition dans le shell de la machine
virtuelle afin de vérifier que tout fonctionne correctement.
@ -133,12 +133,12 @@ virtuelle afin de vérifier que tout fonctionne correctement.
### Monitoring
Utilisez la commande `diagnostic` afin d'avoir une vue d'ensemble des éventuel
problèmes.
Utilisez la commande `diagnostic` afin d'avoir une vue d'ensemble des
éventuels problèmes.
Tout est vert ? Toutes les machines sont opérationnelles !
Tout est vert ? Toutes les machines sont opérationnelles !
Une ou plusieurs machines sont rouges ? il y a effectivement un problème avec
Une ou plusieurs machines sont rouges ? il y a effectivement un problème avec
les machines concernées. Tentez de redémarrer une fois.
Si le problème persiste, vous pouvez formater votre disque en utilisant la

10
tutorial/nat/wks.md
View File

@ -9,7 +9,7 @@ une IP.
Pour vous simplifier les opérations de débug, vous pouvez ajouter une carte
ethernet à la machine virtuelle afin d'avoir accès en SSH à l'un des
postes. L'IP sera alors indiquée sur l'écran de la VM, au démarrage : il s'agit
postes. L'IP sera alors indiquée sur l'écran de la VM, au démarrage : il s'agit
de l'interface `eth1`.
Vous pouvez également ajouter une troisième carte réseau pour la brancher à
@ -20,7 +20,7 @@ votre *entreprise*.
DHCP
----
N'ayant pas, pour le moment, d'IPv6 sur votre réseau ; vous devez mettre en
N'ayant pas, pour le moment, d'IPv6 sur votre réseau ; vous devez mettre en
place un serveur DHCP sur votre réseau afin que vos collaborateurs puissent
utiliser facilement le réseau.
@ -33,9 +33,9 @@ Zone démilitarisée et filtrage
Il est risqué d'exposer des ports d'administration sur Internet ou de permettre
à des zones sensibles d'être accédées par rebond. Définissez quelques règles de
filtrage sur le routeur afin notamment :
filtrage sur le routeur afin notamment :
* d'empêcher les connexions au serveur de base de données, seule les connexions
réalisées depuis le réseau des serveurs resteront disponibles ;
* d'empêcher les connexions au serveur de base de données, seules les connexions
réalisées depuis le réseau des serveurs resteront disponibles ;
* de n'exposer le port SSH que depuis le réseau interne (pas depuis l'interface
connectée à Internet).