Avant de commencer toute partie technique, je vais essayer de vous expliquer le fonctionnement du Port Forwarding et pourquoi le mettre en place.

Pour bien comprendre cette notion, un petit rappel sur le mode de communication entre les ordinateurs est peut être nécessaire:

Afin de s’échanger des informations, les ordinateurs ont besoin d’une adresse IP ainsi que d’un numéro de port.  Le numéro de port est très important car c’est grâce à lui que la communication va pouvoir se faire. Le client et le serveur doivent communiquer sur le même numéro de port pour s’entendre.

Prenons  un exemple de la vie quotidienne : si vous décidez de rendre visite à une personne dans un immeuble, vous avez son adresse postale (Adresse IP) et son numéro d’appartement (Port). Si vous vous trompez de numéro d’appartement, la communication ne pourra pas se faire.

Déchiffrons maintenant le terme de Port Forwarding ou Redirection de Port en français. Le Port Forwarding consiste à rediriger les informations envoyées sur un port  d’un ordinateur vers un port différent de l’ordinateur distant.

Une image pour mieux comprendre cette redirection :

Dans cet exemple, le port 6000 du client sera encapsulé sur le port 22. Lorsque la requête arrivera sur le serveur via le port 22, elle sera décapsulée et envoyées sur le port 80.

Pour simplifier, le port Forwarding consiste à échanger le port de communication via un autre port.

Pourquoi le mettre en place

On peut se poser la question de pourquoi le mettre en place. Le Port Forwading avec SSH est utile lorsque vous voulez une sécuriser communication entre deux ordinateurs.

Vous avez peut être dans votre entreprise un pare-feu qui n’autorise que le port 22 et vous devez accédez au serveur FTP interne de la société. Ou  tout simplement un filtrage de vos requêtes HTTP (Websense, SurfControl) et vous voulez le contourner, mais esquiver ce contrôle reste sous votre entière responsabilité.

Comment communiquent les informations, avec et sans Port Forwarding ?

Explication,

Le chemin bleu (1) est la communication en temps normal. Lorsque vous demandez une page, votre requête est filtrée par le pare-feu puis redirigé vers internet. Si le site est dans la blacklist, alors l’accès vous sera refusé.

Le chemin rouge (2) est la communication par la redirection de port. Votre demande internet est encapsulée dans un tunnel  complètement sécurisé puis est envoyée sur votre serveur distant.

Le fait de chiffrer la transaction entre votre pc et le serveur signifie que le firewall ne pourra pas filtrer votre demande.

Une fois que le serveur distant a reçu votre requête,  il va aller à votre place chercher sur internet la page web et vous la renvoyer en connexion sécurisée.

Résultat es échanges sécurisés entre les deux hôtes, impossible de lire le contenu.

Comment mettre en place

J’ai utilisé pour rédiger cet article une distribution Debian, mais cette solution a également été testée sous une distribution Mandriva.

Voici les équipements nécessaires :

- Un serveur Linux

- Un client sous Microsoft Windows

- L’utilitaire Putty

La configuration du serveur se décompose en 4 étapes :

1. Installation d’OpenSSH
2. Génération des certificats pour SSH
3. Configuration du fichier
4. Création d’un utilisateur

Et la configuration du client en 2 étapes.

1. Configuration de l’utilitaire Putty
2. Configuration du navigateur Internet

Configuration du serveur

Installation d’OpenSSH

La redirection de port étant basée sur le protocole SSH, la première chose à faire est d’installer l’utilitaire Openssh.

apt-get install openssh-server

Note : N’oubliez pas mettre à jour vos dépôts avec la commande :

apt-get update

Génération des certificats pour SSH

Une fois le service installé, il est nécessaire d’avoir des certificats pour la connexion soit valide.

Un certificat contient une clef privée et une clef publique qui vont vous permettre de chiffrer vos communications.

Lors de l’installation, il est possible que la génération des certificats se soient fait automatiquement. Mais pour plus de sécurité nous allons en recréer.

Nous allons générer deux types de certificats, un DSA et un RSA, qui sont deux algorithmes de chiffrement. Ils seront générés grâce à l’utilitaire ssh-keygen.

Pour créer les certificats :

ssh-keygen -t dsa -b 1024

ssh-keygen -t rsa -b 1024

Le système vous demande ensuite de préciser le chemin et le nom pour les certificats. Je vous conseille de les mettre dans /etc/ssh

Configuration du fichier SSH

Maintenant que le service est installé et que les certificats sont créés, il faut modifier le fichier de configuration de ssh pour accepter les tunnels et modifier le chemin des certificats.

Il ne faut pas oublier que notre serveur peut également se connecter sur une machine distante en SSH. Il sera donc client à son tour.

C’est pour cela qu’il existe deux fichiers de configurations pour SSH : un fichier nommé ssh_config pour la connexion cliente et un fichier sshd_config qui va nous permettre de configurer notre serveur SSH.

Nous modifions donc le fichier sshd_config

vi /etc/ssh/sshd_config

Dans un premier temps, nous allons spécifier les nouveaux certificats que nous venons de créer.

Pour cela modifier les lignes qui contiennent HostKey en précisant vos certificats.

# HostKeys for protocol version 2
HostKey /etc/ssh/certifLaboIT
HostKey /etc/ssh/certifLaboITdsa

Pour autoriser SSH à faire du Tunneling, rajouter cette commande à la fin du fichier :

#Permit Tunnel
PermitTunnel yes

Il est également possible de changer le port d’écoute du serveur. Au cas où le port 22 serait bloqué par un pare-feu.

Il faut pour cela modifier la ligne contenant le mot :

#What ports, IPs and protocols we listen
Port 22

Quittez l’éditeur Vim en n’oubliant pas de sauvegarder vos modifications.

La configuration de SSH est désormais terminée.

Il ne reste plus qu’à redémarrer le service avec  la commande:

/etc/init.d/ssh restart

Création d’un utilisateur

Pour éviter de se connecter avec le compte root sur le serveur, nous allons créer un autre utilisateur.

useradd LaboIT

passwd LaboIT

La configuration du serveur est désormais terminée. Nous pouvons maintenant passer à celle du client.

Configuration du Client

Il faut bien comprendre ce que nous allons faire par la suite.

Dans un premier temps, nous allons configurer Putty pour qu’il écoute sur un port non utilisé (par exemple le 9999) puis nous allons ouvrir une connexion SSH vers le serveur. Cela va créer le port Forwarding.

Dans un second temps, nous spécifierons à notre navigateur web d’envoyer toutes nos requêtes vers ce nouveau port.

Toutes les requêtes du client seront donc encapsulées dans un tunnel par Putty dynamiquement pour passer par le chemin rouge (2) vu plus haut.

Configuration de l’utilitaire Putty

Vous pouvez télécharger Putty à cette adresse : http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

La configuration de l’exécutable Putty se fera en 2 étapes :

1. Renseignement de l’adresse IP du serveur et de son port d’écoute.
2. Création sur le client d’un nouveau port dynamique.

Pour la première étape, nous allons renseigner les informations de connexion :

Spécifiez dans la case rouge l’adresse IP ou le FQDN du serveur. Puis dans la case jaune, indiquez le port qui se trouve dans votre fichier de configuration sshd_config

Deuxième étape, Création du nouveau port :

Pour créer un port dynamique, vérifiez que l’option Dynamic soit sélectionnée puis dans le champ Source port indiquez 9999. Une fois ceci fait, cliquez sur Add pour l’ajouter dans les Forwarded Ports.

Pour ouvrir la connexion au serveur distant,  cliquez sur le bouton Open.

Bien sur, vous devez spécifier un couple utilisateur/password valide lors de la connexion au serveur.

Configuration du navigateur Internet

Voici la dernière étape, qui de plus, est la plus facile.

Vous devez indiquer à votre navigateur web préféré par où il doit sortir. En effet, il ne doit plus utiliser  le chemin bleu (1) mais le rouge (2).

Il faut que l’on change l’adresse de Hote SOCKS. Cette information est généralement dans les paramètres de connexion.

Pour l’adresse de connexion hôte, spécifiez 127.0.0.1, c’est votre PC. Et en port, vous devez indiquez 9999, celui qu’on a renseigné plus haut.

Vous n’avez plus qu’à valider les changements et de vous rendre sur vos sites favoris.

N’oubliez pas que si votre entreprise a mis en place un filtrage, c’est pour une bonne raison. Donc n’en abusez pas. Vous êtes le seul responsable de vos actes

Le protocole DHCP (Dynamic Host Configuration Protocol) permet aux utilisateurs d’obtenir une configuration IP  automatiquement.

Le service DHCP est souvent couplé au service DNS sur un serveur distinct. Cependant, il est possible de l’activer sur un routeur pour un réseau de petite taille.

Une configuration possède une adresse ip, son masque de sous-réseau  et différentes options. Une quarantaine d’entre elles sont configurables tel que la passerelle par défaut, les serveurs DNS,  le nom de domaine, le serveur WINS.

La configuration est attribuée pour une durée déterminée, on appelle ce temps: le bail.

Note : le protocole DHCP se diffuse par broadcast,  ce qui signifie que la demande du client ne peut pas traverser un routeur (sauf commande explicite).

Configuration

Voici le réseau de test :

La configuration du service DHCP se fait en 4 étapes :

1. Création d’un pool DHCP.
2. Indication du réseau à écouter.
3. Définition des options du pool.
4. Exclusion d’adresses IP

Étape 1 : Création du pool DHCP

La première étape consiste  à créer un pool DHCP sur le routeur. Un pool regroupe les adresses qui seront distribuées ainsi que ses options.

La commande est la suivante, en mode de configuration globale du routeur :

ip dhcp pool nom_du_pool

On rentre alors en mode de configuration DHCP.

Il est notamment possible de créer plusieurs pools sur un même routeur.

Étape 2 : Indication du réseau à écouter

Dans le mode de configuration DHCP, on spécifie  le réseau à écouter avec la commande :

network adresse_ip masque

Dans notre exemple, le service attribuera des adresses ip de 192.168.20.1 à 192.168.20.254

Étape 3 : Définition des options du pool

Nous allons spécifier 4 options : la passerelle par défaut, le serveur DNS, le nom de domaine et le bail.

Pour spécifier la passerelle par défaut, on utilise l’option

default-router ip_du_router

Pour indiquer le serveur DNS primaire :

dns-server ip_du_serveur_DNS

Le nom de domaine se spécifie avec:

domain-name nom_de_domaine

On fixe la durée du bail avec:

lease jour heure minute

La commande lease infinite permet de définir un bail infini.

Étape 4 : Exclusion d’adresses IP

Une fois qu’on a fini de configurer le ou les pools DHCP  il faut définir quelles adresses ne seront pas distribuées par le serveur, pour éviter les conflits.

On va  interdire au serveur de distribuer l’adresse ip du routeur.

On utilise pour cela la commande en mode de configuration globale.:

ip dhcp excluded-address ip_interdite

Gestion du serveur DHCP

Par défaut, le service DHCP est activé lorsqu’on définit un pool.

Si l’on souhaite le désactiver, on utilise la commande suivante : no service dhcp. Pour le réactiver : service dhcp

On peut voir les baux distribués par le serveur avec : show ip dhcp binding, en mode privilégié.