Pour un r\u00e9seau local de petite entreprise ou d’une famille active sur Internet, il est possible de faire int\u00e9gralement confiance \u00e0 un fournisseur d’Acc\u00e8s Internet (FAI) qui va syst\u00e9matiquement offrir les services de base d’un r\u00e9seau local sur sa box Internet (fibre ou ADSL). Mais si vous souhaitez (comme moi) disposer de plus de flexibilit\u00e9, il sera utile de mettre en place ses propres services.<\/p>\n\n\n\n
Pour ma part, j’ai not\u00e9 que l’apparition sur le march\u00e9 de nano-ordinateurs comme les box Android ou les Raspberry Pi permet d’envisager de mettre en oeuvre des services qui semblaient horriblement chers et difficiles \u00e0 d\u00e9ployer auparavant.<\/p>\n\n\n\n
J’ai donc d\u00e9cid\u00e9 d’acheter un Raspberry Pi 3 B+ qui offre une solution qui ne co\u00fbte pas cher, qui ne consomme pas beaucoup d’\u00e9nergie, qui peut rester branch\u00e9e en permanence, et qui est programmable int\u00e9gralement. Je voulais d\u00e9ployer les services de base d’un r\u00e9seau tout en me donnant la ma\u00eetrise la plus compl\u00e8te possible.<\/p>\n\n\n\n
Le minimum \u00e0 assurer :<\/p>\n\n\n\n
Dans le futur, il faudra aussi assurer des services compl\u00e9mentaires (pas \u00e9tudi\u00e9s ici) comme :<\/p>\n\n\n\n
De fait, j’ai not\u00e9 que deux serveurs semblaient aptes \u00e0 g\u00e9rer simultan\u00e9ment le DHCP et le DNS : Unbound<\/a> et dsnmasq<\/a>.<\/p>\n\n\n\n Unbound:<\/p>\n\n\n\n dnsmasq:<\/p>\n\n\n\n Cela m’a men\u00e9 \u00e0 exploiter dnsmasq, principalement \u00e0 cause de la possibilit\u00e9 de g\u00e9rer simultan\u00e9ment DNS et DHCP.<\/p>\n\n\n\n Premi\u00e8re information vite d\u00e9couverte : les serveurs NAS Synology sont tout \u00e0 fait incompatibles avec le filtrage de DNS de CleanBrowsing. Celui-ci compte synology.me (service n\u00e9cessaire pour le DDNS de Synology) dans les domaines \u00e0 risque. De nombreux services du NAS cessent imm\u00e9diatement de fonctionner.<\/p>\n\n\n\n Je n’ai pas v\u00e9rifi\u00e9 mais il est probable que de nombreux autres services DDNS (Dynamic DNS) soient black-list\u00e9s pour les m\u00eames raisons : devant le nombre de petits serveurs Synology (ou autres) mal configur\u00e9s, ces DDNS renvoient sans doute vers une forte proportion de domaines qui ont \u00e9t\u00e9 pris en otage par les hackers.<\/p>\n\n\n\n Il faut donc pouvoir g\u00e9rer cela plus finement si vous avez vous-m\u00eame votre propre NAS Synology (et sans doute d’autres marques).<\/p>\n\n\n\n Apr\u00e8s quelques mois d’utilisation de dnsmasq sur Rapsberry Pi, il est temps de faire quelques commentaires pour partager cette exp\u00e9rience.<\/p>\n\n\n\n Tout d’abord, cela a tr\u00e8s bien fonctionn\u00e9. J’ai bien eu un cas o\u00f9 le serveur DHCP semble s’\u00eatre arr\u00eat\u00e9 sans autre forme de proc\u00e8s. J’ai essay\u00e9 de comprendre la cause mais il s’est r\u00e9v\u00e9l\u00e9 plus simple de rebooter le serveur (bouton On-Off) pour retrouver le service. Evidemment, quelques dizaines de minutes de recherche m’auront valu quelques regards inquiets de l’autre utilisatrice du r\u00e9seau…<\/p>\n\n\n\n Les filtres DNS mis en place pour limiter l’acc\u00e8s \u00e0 des domaines particuli\u00e8rement dangereux fonctionnent bien, mais il est exact qu’il ne semble pas y avoir eu de d\u00e9clenchement intempestif (ce n’est pas la seule barri\u00e8re que j’utilise contre les sites malveillants). Le script de cr\u00e9ation du filtre est ci-dessous :<\/p>\n\n\n\n Un des avantages de ce serveur est sa rapidit\u00e9. Je pouvais m’en inqui\u00e9ter avant de conna\u00eetre le Raspberry Pi, mais \u00e9tant donn\u00e9 la faible charge de travail sur ce serveur (malgr\u00e9 un petit serveur HTTP, des connexions \u00e0 distance et quelques scripts locaux) et la bonne puissance de la CPU, tout se passe tr\u00e8s bien m\u00eame devant la dizaine de clients qui font appel au serveur DNS en mode \u00e0 peu pr\u00e8s continu (les iPhones sont particuli\u00e8rement exigeants).<\/p>\n\n\n\n dnsmasq est parfaitement capable de g\u00e9rer le DHCP IPv6, et le DNS IPv6 correspondant. La documentation \u00e0 ce sujet est faible (c’est le moins qu’on puisse en dire), mais \u00e7a fonctionne bien et j’ai pu assurer un fonctionnement fiable dans ce domaine \u00e9galement (temporairement, le Raspberry Pi m’a m\u00eame servi de proxy pour tout le trafic IPv6 sans faiblir ou \u00eatre remarqu\u00e9 ; l\u00e0, j’ai \u00e9t\u00e9 surpris par sa puissance).<\/p>\n\n\n\n Apr\u00e8s une installation initiale qui fonctionnait avec une allocation dynamique des adresses IP, j’ai pass\u00e9 le serveur DHCP en configuration presqu’exclusivement statique (c’est un choix personnel qui me permet de reconna\u00eetre plus facilement le contenu de mon r\u00e9seau). L\u00e0 aussi aucune difficult\u00e9, aussi bien en IPv4 qu’en IPv6.<\/p>\n\n\n\n Conclusion : totalement positive.<\/p>\n\n\n\n Dans le futur, je peux \u00eatre tent\u00e9 de d\u00e9ployer des serveurs DHCP et DNS plus puissants (peut-\u00eatre ou peut-\u00eatre pas) et surtout un espion de r\u00e9seau genre SNORT ou SURICATA. Mais c’est une autre histoire. Et peut-\u00eatre que dans ce dernier cas, je serai tent\u00e9 par un calculateur avec beaucoup plus de puissance de calcul (j’ai un Avenger96 \u00e0 l’essai, mais il ne me semble pas id\u00e9alement support\u00e9 en mati\u00e8re de soft).<\/p>\n\n\n\nD\u00e9couvertes int\u00e9ressantes<\/h2>\n\n\n\n
Observations<\/h2>\n\n\n\n
#!\/bin\/sh\n#Dated 2020-11-10 1.0 Addition of --quiet to wget (to reduce clutter to \/var\/mail\/pi)\n# *** STABLE RELEASE ***\n\ncd \/var\/lib\/work\n\n#Get anti-phishing filter lists from Internet\nwget -q -O .\/isc-low.txt 'https:\/\/isc.sans.edu\/feeds\/suspiciousdomains_Low.txt'\nwget -q -O .\/isc-med.txt 'https:\/\/isc.sans.edu\/feeds\/suspiciousdomains_Medium.txt'\nwget -q -O .\/isc-hig.txt 'https:\/\/isc.sans.edu\/feeds\/suspiciousdomains_High.txt'\nwget -q -O .\/yoyo.dnsmasq.txt 'https:\/\/pgl.yoyo.org\/adservers\/serverlist.php?hostformat=dnsmasq&hostformat=nohtml&showintro=0&mimetype=plaintext'\n#Remodel the lists into DNSmasq filters\ncatcherIP='192.168.1.250'\ninputfile=\".\/isc-med.txt\"\ntmpfile=\"\/tmp\/.adlist.$$\"\ntmpconffile=\"\/tmp\/.dnsmasq.conf.$$\"\nconfigfile=\"\/etc\/dnsmasq.filter.conf\"\nconfigheader=\"\/etc\/dnsmasq.filter.header\"\n\n#Start with putting our own header\n [ -f \"$configheader\" ] && cat $configheader >> $tmpconffile\n#check if TmpFile could be init'd with header\nif [ ! -s $tmpconffile ]\nthen\n echo \"temp fil '$tmpconffile' could not be found or is empty; quitting\"\n exit\nfi\n#Remove list headers\ncat $inputfile | grep -v \"^#\" | grep -v \"^Site$\" > $tmpfile\n#Buid list to DNSmasq format, and add it to the file\nsed \"s\/(.*)\/address=\\\/\\1\\\/${catcherIP}\/\" $tmpfile >> $tmpconffile\n#Move the final list to destination\nsudo cp $tmpconffile $configfile<\/pre>\n\n\n\nQuelques autres liens int\u00e9ressants<\/h2>\n\n\n\n