Étape 10 : DHCP et DNS
DHCP sur notre flux RSS permettra à notre porte d’entrée envoyer des informations à de nouveaux hôtes afin que :
-ils envoient tout leur trafic à travers nous, en tant que passerelle
-ils envoient tous leurs requêtes DNS pour nous, comme un serveur DNS
Tout nouvel hôte est automatiquement protégé par notre passerelle. Cela signifie que le flux RSS peut également être installé sur des environnements où les gens ne sont pas assez compétents pour mettre la main sur elle.
Le serveur de cache/DNS sur son côté, va nous permettre d’avoir les réponses DNS plus rapides, car ils vont être mis en cache. Certaines requêtes DNS courantes sont faits plusieurs fois, alors que la réponse peut être mis en cache une fois et a répondu sans interroger les serveurs DNS de l’ISP. Les plus les ordinateurs, plus le gain est visible. La partie DNS refusera aussi incomplets ou mal requêtes DNS, ajoutant à la sécurité apportée par le RSS.
Un paquet contient DHCP et DNS dans un seul démon et est de plus de lumière sur les ressources et facile à configurer : dnsmasq.
$ sudo pacman – S dnsmasq
$ sudo vi /etc/dnsmasq.conf
## CONFIGURATION DNS ##
# Interfaces pour DNS
interface = eth0
Ecoute-adresse = 192.168.1.3
bind-interfaces
# Les noms de plaines jamais vers l’avant (sans la partie de la dot ou domaine)
domaine-nécessaire
# Jamais avant adresses dans les espaces d’adressage non routés.
faux-priv
# Requêtes DNS simultanées de Max (par défaut = 150)
DNS-forward-max = 150
# Taille du cache DNS (par défaut = 150)
taille du cache = 300
## CONFIGURATION DHCP ##
# Temps de gamme et de bail DHCP
DHCP-range = 192.168.1.10, 192.168.1.20, 255.255.255.0, 4D
# Set DHCP comme faisant autorité
DHCP-autorité
Maintenant nous allons redémarrer dnsmasq pour appliquer notre configuration :
$ sudo rc.d redémarrage dnsmasq
Maintenant, vous devez désactiver DHCP sur votre modem/routeur DSL ISP. Vous ne peut pas avoir deux serveurs DHCP sur le même sous-réseau.
Pour l’instant, il est fortement conseillé de tester les DHCP et DNS. Si vous souhaitez faire, suivre ce qui est ci-dessous.
Sous Windows si vous avez DHCP configuré il suffit de taper sur la ligne de commande :
> ipconfig/release
> ipconfig/renew
> ipconfig/all
Vérifiez que vous obtenez non seulement le dos de la propriété intellectuelle, mais aussi votre bonne passerelle et DNS.
Pour tester le DNS, le chèque doit être fait sur le PiWall lui-même. Exécutez tcpdump avec les arguments suivants :
$ sudo tcpdump -i eth0 dst port 53 ou src port 53 - n - x -X - v
Puis sur votre client Windows, par exemple, videz votre cache DNS puis faire un ping à www.google.com :
> ipconfig/flushdns
> ping www.google.com
Vérifier avec le tcpdump que la demande est faite par le client de Windows à la RSS, et que celui-ci transmet au serveur DNS externe, pour finalement donner la réponse au client Windows. Répétez le nettoyage dns et le ping sur le client Windows, et cette fois le RSS devrait répondre directement sans envoyer une requête DNS à l’extérieur.