🔹 Configuration réseau

⚙️ Configuration réseau d'une machine de service

  auto eth0
iface eth0 inet6 auto
iface eth0 inet static
        address 192.168.1.2
        netmask 255.255.255.0 #Possibilité de juste mettre /28 à la fin de l'ip juste au-dessus
        gateway 192.168.1.1 # Machine mandataire (faire la masquarade)
auto eth1
iface eth1 inet6 auto

⚙️ Configuration réseau d'une machine mandataire

# Interface eth0 (réseau local)
auto eth0
iface eth0 inet6 auto
iface eth0 inet static
    address 192.168.1.1       # Adresse IP statique pour l'interface eth0 dans le réseau local
    netmask 255.255.255.0     # Masque de sous-réseau pour eth0

# Interface eth1 (interface avec une adresse publique)
auto eth1
iface eth1 inet static
    address 193.48.57.170     # Adresse IP publique de la machine mandataire (gateway)
    netmask 255.255.255.224   # Masque de sous-réseau pour eth1
    gateway 193.48.57.161     # Passerelle pour accéder à Internet via eth1

🌐 Configuration du Masquerading (sur la passerelle de connexion)

1. Vérifier la connectivité et l'interface réseau de la passerelle
2. Activer le Forwarding IP
   • Ouvrir le fichier /etc/sysctl.conf et modifier/ajouter la ligne :

  net.ipv4.ip_forward = 1

3. Configurer le Masquerading avec iptables

  iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

4. Vérifier la règle iptables

  iptables -t nat -L -v

5. Rendre la configuration iptables persistante

  apt install iptables-persistent

🔄 Redirection de port (exemple avec ssh)

iptables -t nat -A PREROUTING -p tcp --dport 2201 -j DNAT --to-destination 192.168.1.2:22
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT

Redirection du port 2201 de la machine sur lequel la commande est lancée verse le port 22 de la machine 192.168.1.1.

Rendre la configuration iptables persistante

  apt install iptables-persistent

🛠 Vérifications et Tests

• Premier reflex à avoir quand quelque chose de fonctionne pas :

 ip a  # Vérifie les interfaces réseau et les adresses IP

• Les commandes avec brctl (pours les bridges)

brctl show # Affiche tous les bridges créés sur le système et les interfaces associées
brctl delbr br0 # Cela supprimera le bridge "br0" et toutes les interfaces qui lui sont associées

🔹 BIND9 (DNS)

📌 Fichiers de configuration

• Fichier de configuration principal

  etc/bind/named.conf
  

• Zones DNS déclarées dans :

  /etc/bind/named.conf.local  # Définition des zones locales
  /etc/bind/named.conf.options # Options globales du serveur
  

Options

• Il y a peut-être des options a rajouter dans le fichier named.conf.options

        dnssec-validation auto;
        allow-query { any;};
        recursion no;
        //allow-query-cache { trusted; };
        //allow-recursion { any; };
        allow-transfer{ none; };
        version "mine";
        listen-on-v6 { any; };

📑 Fichiers de zones

• Déclarer une zone secondaire

    zone "ekko.my"{
      type secondary; // version politiquement correcte de slave
      file "/etc/bind/ekko.my";
      primaries{ 2001:660:4401:60a0:216:3eff:feec:a9e; }; #Adresse IP de la machine ou se trouve la zone primaire
    };

• Déclarer une zone primaire (avec DNSSEC)

  zone "ekko.my" {
    type primary;
    file "/etc/bind/zones/ekko.my.zone";
    allow-transfer{2001:660:4401:60a0:216:3eff:fe5b:8277;
          2001:660:4401:60a0:216:3eff:fe5d:1e7d;};
    also-notify{2001:660:4401:60a0:216:3eff:fe5b:8277;
          2001:660:4401:60a0:216:3eff:fe5d:1e7d;};
  #Pour DNSSEC
    key-directory "/etc/bind/keys";
    dnssec-policy "dnspol"; #Fait référence au bloc suivant
    inline-signing yes;
   };
  
  dnssec-policy "dnspol" {
     keys {
         ksk key-directory lifetime unlimited algorithm 13;
         zsk key-directory lifetime unlimited algorithm 13;
     };
     nsec3param;
   };
  

📑 Exemple de fichier de zone DNS pour ekko.my

$TTL 500
@       IN      SOA     ns.ekko.my. admin.ekko.my. (
                   2025031202  ; Version
                   21600        ; Refresh secondaire (6h)
                   3600         ; Tentative secondaire (1h)
                   2592000      ; Expiration (30j)
                   86400 )      ; Negative cache (24h)

@       IN      NS      ns.ekko.my.
@       IN      NS      ns1.caitlyn.eu.

ns      IN      AAAA    2001:660:4401:60a0:216:3eff:feec:a9e
        IN      A       193.48.57.170
matrix  IN      A       195.101.204.155

@       IN      A       193.48.57.170
@       IN      AAAA    2001:660:4401:60a0:216:3eff:feec:a9e
www     IN      CNAME   ekko.my.

Explication du fichier de zone

1. $TTL 500 : Définit un TTL (Time To Live) de 500 secondes pour les enregistrements DNS, ce qui spécifie la durée pendant laquelle les réponses peuvent être mises en cache.
2. @ IN SOA ns.ekko.my. admin.ekko.my. : Enregistrement SOA (Start of Authority) qui définit le serveur DNS principal pour le domaine, ainsi que les informations administratives.
   • 2025031202 : Numéro de version de la zone.
   • 21600 : Intervalle de rafraîchissement pour les serveurs secondaires (6 heures).
   • 3600 : Temps d'attente avant de réessayer en cas d'échec (1 heure).
   • 2592000 : Expiration des données si non rafraîchies (30 jours).
   • 86400 : Cache négatif (24 heures).
3. @ IN NS ns.ekko.my. et @ IN NS ns1.caitlyn.eu. : Définit les serveurs de noms autoritaires pour le domaine ekko.my.
4. ns IN AAAA 2001:660:4401:60a0:216:3eff:feec:a9e : Enregistrement AAAA pour l'adresse IPv6 du serveur ns.ekko.my.
5. ns IN A 193.48.57.170 : Enregistrement A pour l'adresse IPv4 du serveur ns.ekko.my.
6. matrix IN A 195.101.204.155 : Enregistrement A pour l'adresse IPv4 du sous-domaine matrix.ekko.my.
7. @ IN A 193.48.57.170 : Enregistrement A pour l'adresse IPv4 du domaine principal ekko.my.
8. @ IN AAAA 2001:660:4401:60a0:216:3eff:feec:a9e : Enregistrement AAAA pour l'adresse IPv6 du domaine principal ekko.my.
9. www IN CNAME ekko.my. : Enregistrement CNAME pour rediriger www.ekko.my vers ekko.my.

🛠 Vérification et Debug

• Tester la configuration globale :

  named-checkconf
  

• Tester un fichier de zone :

  named-checkzone ekko.my /etc/bind/db.ekko.my
  

• Vérifier si le serveur écoute bien sur le port 53 :

  ss -tulpn | grep named
  

• Recharger la configuration BIND après modification :

  systemctl reload named
  

• Consulter les logs :

  cat /var/log/syslog | tail -n 50
  

• Faire une requête DNS locale :

  dig @localhost ekko.my
  

🔹 Apache2

📌 Fichiers de configuration

• Configuration principale :

  /etc/apache2/apache2.conf  # Debian/Ubuntu
  

• Virtual Hosts :

  /etc/apache2/sites-available/ekko.my.conf
  

• Modules (Debian/Ubuntu) :

  a2enmod proxy proxy_http rewrite ssl
  systemctl restart apache2
  

📑 Apache2 - Fichier de configuration pour ekko.my

Contenu du fichier /etc/apache2/sites-available/ekko.my.conf

  <VirtualHost *:80>
    ServerName ekko.my
    ServerAlias www.ekko.my
    Redirect permanent / https://ekko.my/
</VirtualHost>

<VirtualHost *:443>
    ServerName ekko.my
    DocumentRoot /var/www/ekko.my

    SSLEngine on
    SSLCertificateFile /etc/apache2/ssl/ekko.my.crt
    SSLCertificateKeyFile /etc/apache2/ssl/ekko.my.key
    SSLCertificateChainFile /etc/apache2/ssl/ekko.my.pem

    <Directory /var/www/ekko.my>
        AllowOverride All
        Require all granted
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/ekko.my_error.log
    CustomLog ${APACHE_LOG_DIR}/ekko.my_access.log combined
</VirtualHost>

Explication détaillé

1. VirtualHost sur le port 80 (HTTP)
   • VirtualHost :80 : Configure Apache pour écouter les requêtes HTTP (port 80) et répondre aux demandes du domaine ekko.my et www.ekko.my.
   • ServerName ekko.my : Définit ekko.my comme le nom de serveur principal.
   • ServerAlias www.ekko.my : Ajoute www.ekko.my comme alias pour que les requêtes à www.ekko.my soient également traitées par ce VirtualHost.
   • Redirect permanent / https://ekko.my/ : Redirige toutes les requêtes HTTP vers https://ekko.my/. Cela garantit que toutes les connexions seront sécurisées via HTTPS.
2. VirtualHost sur le port 443 (HTTPS)
   • *VirtualHost :443 : Configure Apache pour écouter les requêtes HTTPS (port 443) sur le domaine ekko.my
   • ServerName ekko.my : Définit ekko.my comme le nom de serveur pour ce VirtualHost.
   • DocumentRoot /var/www/ekko.my : Spécifie le répertoire racine du site web où Apache recherchera les fichiers pour ekko.my.
3. Configuration SSL
   • SSLEngine on : Active le support SSL pour le VirtualHost, permettant une connexion sécurisée HTTPS.
   • SSLCertificateFile /etc/apache2/ssl/ekko.my.crt : Spécifie le chemin du certificat SSL pour ekko.my.
   • SSLCertificateKeyFile /etc/apache2/ssl/ekko.my.key : Spécifie le fichier de clé privée associée au certificat SSL.
   • SSLCertificateChainFile /etc/apache2/ssl/ekko.my.pem : Indique le fichier de chaîne de certificats (intermédiaires) pour vérifier la validité du certificat SSL.

• Voir les logs d’erreurs de cette configuration en question :

  tail -f /var/log/apache2/ekko.my_error.log  # Debian/Ubuntu
  

📑 Apache2 en reverse proxy

<VirtualHost *:80>
    ServerName ekko.my
    Redirect permanent / https://ekko.my/
    ServerAlias www.ekko.my

</VirtualHost>

<VirtualHost *:443>
    ServerName ekko.my

    SSLProxyEngine on
    ProxyPreserveHost on
    ProxyPass / https://ekko.my/
    ProxyPassReverse / https://ekko.my/

    ErrorLog /var/log/apache2/ekko_error.log


    SSLCertificateFile /etc/ssl/certs/ekko.my.crt
    SSLCertificateKeyFile /etc/ssl/private/ekko.my.key
    SSLCertificateChainFile /etc/ssl/certs/ekko_chain.pem

</VirtualHost>

🛠 Commandes, debogage et autre

• Vérifier la syntaxe Apache :

  apache2ctl configtest
  

• Debug mode :

  apache2ctl -X
  

• Liste les VH :

  apache2ctl -S
  

• Voir les logs d’erreurs :

  tail -f /var/log/apache2/error.log  # Debian/Ubuntu
  

• Lister les ports écoutés :

  ss -tulpn | grep apache2
  

• Logs plus détaillés pour Apache2 :

  apache2ctl -e debug
  

• Modules

  a2enmod proxy #Activer un module
  a2dismod proxy #Désactiver un module
  apache2ctl -M #Liste des modules actifs

• Sites

  a2ensite ekko.my #Activer un module
  a2dissite ekko.my #Désactiver un site

🔹 Certificats SSL (Let's Encrypt)

📌 Mini Tutoriel Let's Encrypt avec Certbot

1. Installation de Certbot (si non installé) :

   apt install certbot python3-certbot-apache  # Debian/Ubuntu
   

   Installe Certbot et le module pour Apache.

2. Générer un certificat SSL :

   certbot certonly --webroot -w /var/www/html -d ekko.my --email tonemail@example.com
   

   • certonly : Génère uniquement le certificat sans modifier la config Apache.
   • --webroot -w /var/www/html : Utilise le dossier web pour validation.
   • -d ekko.my : Domaine concerné.
   • --email : Adresse pour notifications et renouvellement.

3. Renouvellement manuel des certificats :

   certbot renew --dry-run
   

   Simule un renouvellement pour vérifier si tout fonctionne.

4. Ajout au cron pour le renouvellement automatique :

   echo "0 3 * * * certbot renew --quiet" | crontab -
   

   Exécute le renouvellement chaque jour à 3h du matin.

5. Redémarrer Apache après renouvellement (si nécessaire) :

   systemctl restart apache2
   

🔹 IPv6 et Routage

• Afficher les interfaces et adresses IPv6 :

  ip -6 addr show
  

• Tester la connectivité IPv6 :

  ping -6 google.com
  

🔹 Autres Commandes Utiles

• Lister les ports ouverts :

  netstat -tulpn
  

• Voir les processus liés à un port :

  ss -tulpn | grep :80