Zeroshell

I- Grer son trafic rseau avec Zeroshell

Kamleu Noumi Emeric 22 juin 2015 Linux, OpenSource, OS, Tlcommunications, VOIP
Aucun Commentaires 1,954 Vues
Avec la multiplication des accs rseaux (ordinateurs, tablettes, mobile, montre connecte,
etc) et des services internet (vido, audio), a devient de plus en plus difficile pour les
administrateurs de rseaux de crer, dimensionner, et grer le trafic internet ou WAN.
Aujourdhui nous allons discuter du systme Zeroshell avec lequel jai eu travailler les deux
semaines passes et qui ma permis de rgler un problme critique dans mon rseau qui tait
la gestion de la bande passante.
Le temps o on connectait des quipements juste avec des switch et des routeurs est rvolu,
nous sommes confronts des quipements de plus en plus varis pouvant se connecter
internet, des utilisateurs la plupart du temps en train de regarder des vidos sur YouTube ou
des missions, des tablettes ou smartphone mettant jour des applications, des employs
en vidoconfrence. Malheureusement, la bande passante internet reste limite. Nous devons
donc faire un partage quitable de trafic pour que certains services ne puissent interrompre ou
dgrader la qualit dautres services.
Cest ainsi quentre en jeu le systme tout en un Zeroshell. Zeroshell est un pare-feu
possdant normment de fonctionnalits entre autre : le partage de charge si on possde
plusieurs connexions internet, la QOS ou qualit de service, le pare-feu, le proxy http, le
filtrage, le routage, la gestion dauthentification distante, etc Mais au cours de cet article,
nous allons traiter uniquement la fonctionnalit de QOS. Elle permet en effet de prioriser les
diffrents types de services dans le rseau. Vous pourrez par exemple traiter en priorit ceux
qui sont en vidoconfrence avant ceux qui regardent des vidos sur YouTube; diminuer la
bande passante utilise par les applications de partage de fichiers.
<!--nextpage-->

Installation de Zeroshell
Zeroshell peut tre tlcharg facilement sur leur site web cette adresse. Il est prfrable de
tlcharger Zeroshell en version Install/Live CD . Vous pouvez soit linstaller en virtuel sur
Virtualbox ou sur un PC possdant deux cartes Ethernet.
NB: En linstallant sur un ordinateur, toutes les partitions seront effaces.
Zeroshell est trs souple. Vous navez mme pas besoin de linstaller. Vous avez juste qu
sauvegarder les configurations sur un autre support USB par exemple. Tout se droule
travers linterface web.

Avant de pouvoir lancer Zeroshell, nous devons le placer entre les PC ou quipements clients
et le routeur ou modem internet.
image: http://www.tech-connect.info/wp-content/uploads/zeroshell-dans-le-r%C3%A9seauLAN.jpg

Maintenant que notre serveur ai t bien plac dans le rseau, on peut maintenant dmarrer
Zeroshell.
image: http://www.tech-connect.info/wp-content/uploads/zeroshell-demarrage.png

Voil quoi
ressemble Zeroshell en ligne de commande quand il a fini de dmarrer. Pour linstaller, il
suffit daller sur la page dinstallation en tapant A sur le clavier, choisir la partition sur
laquelle linstaller et Zeroshell fera le reste en formatant le disque dur et en copiant le systme
sur le disque.
Pour accder linterface dadministration de Zeroshell, il suffit de connecter une machine
sur lun des deux ports Ethernet du serveur, configurer ladresse IP de la machine avec lIP :

192.168.0.76. Ensuite allez dans le navigateur et tapez http://192.168.0.75. On devrait se

retrouver sur cette page.

image: http://www.tech-connect.info/wp-content/uploads/zeroshell-page-administration.png

Par dfaut, le systme rinitialise les configurations par dfaut chaque dmarrage. Pour
rendre les modifications permanentes nous devons crer un nouveau profil que lon va activer.
Pour cela, on va dans longlet Profiles , on slectionne le disque dur utiliser et on clique
sur crer un profil Create . Une fentre saffiche avec des informations remplir:

Dans la fentre qui saffiche, on ajoute une description des configurations effectuer sur
Zeroshell, le nom dhte du serveur, le domaine de la base de donne Kerberos 5 et LDAP, le
mot de passe administrateur, linterface Ethernet de configuration et ladressage rseau
utiliser. Quand les informations ont t ajoutes, on clique sur le bouton Create pour
sauvegarder.
La base de donnes cre, on clique sur Activate pour lactiver.
Maintenant on doit crer un pont. Ce pont permettra de rediriger le trafic dun port vers un
autre. Ainsi les utilisateurs pourront accder internet et Zeroshell avant de retransmettre le
trafic va lanalyser. Pour cela on va dans Setup -> Network. En supposant que les
configurations IP des interfaces ont dj t faites, pour crer le pont, on clique sur New
BRIDGE . On commence par ajouter une des interfaces lier. Parmi la liste des interfaces
prsentes, on ajoute dabord la premire interface lier et on clique sur Save pour
enregistrer.

Le nouveau pont cr porte

le nom de BRIDGE00 . On clique Configure pour ajouter la deuxime interface au
pont cr.

On ajoute la seconde interface au pont et on clique sur Save .

<!--nextpage-->

Assigner une bande passante globale au pont crer

Ltape suivante est dassigner une bande passante globale au pont cr prcdemment. Pour
cela, on va dans [QoS] -> [Interface Manager], on clique sur la premire interface ETH00 et
on clique sur Global Bandwith . Il est prfrable de mettre une bande passante infrieure
au dbit rel. On mettra ainsi 4Mbits pour Eth00. Pour sauvegarder, on clique comme
dhabitude sur Save . On rpte la mme procdure pour ETH01 et on met 2Mbits. Vous
pouvez mettre vos propres valeurs si vous le voulez. Aprs modifications noubliez pas de
cliquer [Activate last Changes] pour enregistrer les modifications.

Cration des classes pour la QOS

Nous allons utiliser la section [QoS] -> [Class Manager] pour crer des catgories de trafic.
Ainsi nous allons cliquer sur New et crer les catgories pour le trafic Voix VOIP , P2P
pour le trafic de partage de donnes, BULK pour les tlchargements constants comme les
tlchargements de logiciels ou le streaming de donnes. Vous pouvez vous rfrer limage
qui suit pour crer vos propres catgories de trafic. Mais vous ne devez en aucun cas
supprimer la catgorie par dfaut (DEFAULT) qui est la catgorie regroupant tous les trafics
inconnus.
Ex: nous voulons que les appels Skype soit prioritaire donc nous allons crer une classe de
trafic:
[NEW] -> APPELS -> Appels Skype & appels internet -> Priorit: Haute -> Dbit garanti:
1Mbps -> [SAVE]

<!--nextpage-->

Ajouter les catgories de trafic au pont

Maintenant quon a catgoris les diffrents types de trafic, on doit les ajouter dans le pont
quon a cr rcemment. Pour ajouter des classes un pont, on ajoute les classes aux
diffrentes interfaces composant le pont. Dans notre cas ETH00 et ETH01. On clique donc
sur add class et on ajoute les classes quon crer.
image: http://www.tech-connect.info/wp-content/uploads/zeroshell-ajouter-les-classes-detrafic.png

Aprs avoir ajout les catgories de trafic aux interfaces, on active la QOS sur ces diffrents
interfaces en cochant la case ON en vert.
Il ne nous reste qu dire Zeroshell dajouter tel trafic telle catgorie. Cest dans [QoS] ->
[Classifier] quon le fait.

En appuyant sur le bouton [Add], on peut marquer certains types de trafic et les mettre dans
lune des catgories quon a cres. On va juste prendre quelques exemples pour que vous
compreniez le fonctionnement.

Nous voulons marquer tous les partages de fichiers par torrent comme du P2P.

O
n commence par choisir la catgorie de trafic (1), ensuite on choisit le protocole (2). Layer 7
offre dj des rgles de dtection de certains protocoles populaires. On lutilise pour dtecter
le trafic torrent. Pour sauvegarder, on clique sur Confirm (3). Cependant ayons en tte
quutiliser les protocoles Layer 7 augmente la charge CPU. Plus on en utilise, plus la charge
CPU augmente (il doit analyser chaque paquet pour vrifier sil y a une correspondance) et
plus le trafic est ralenti.
Vous navez pas besoin dutiliser Layer 7 pour tout type de trafic; si on veut par exemple
marquer le trafic SHELL (connexion scurise distante), on peut juste utiliser les ports.

Ze
roshell est un pare-feu trs puissant et complet que lon peut utiliser dans un petit rseau
personnel et dans un grand rseau comme celui dune grande entreprise. Grce sa
fonctionnalit de profil, on peut sauvegarder les configurations dans une cl USB ou autres; et
lorsquun problme survient, il suffit juste de rinstaller le systme et restaurer les
configurations. Noubliez pas de partager vos expriences dans le commentaire.

II- Exemple pratique avec le routeur/parefeu ZeroShell: serveurs

hbergs en datacenter
Olivier Olejniczak 3 septembre 2012 Informatique Laisser un commentaire 1,041 Visites
Je continue lexploitation des usages du petit routeur/pare-feu ZeroShell. Toutefois, cette
distribution est utilise titre dexemple et limplmentation prsente dans le cadre de cet
article nest en en aucun cas limit ce produit.

Le sujet de cet article ma t demand par Nicolas dans le cadre dun projet personnel.

Dans le cadre de cet article, nous allons poser le contexte suivant :

Le Client1 : Tous les utilisateurs de ce client sont prsents sur un site physique : Site1. Ce
site est quip dun serveur : Server1.1. Ce site dispose dun accs linternet au travers dun
routeur ZeroShell : RouteurSite1. Ce client loue un serveur chez lhbergeur : Server1.2. Le
rseau local est en 10.0.11.0/24. La passerelle est 10.0.11.254.

Le Client2 : Tous les utilisateurs de ce client sont prsents sur un site physique : Site2. Ce
site est quip dun serveur : Server2.1. Ce site dispose dun accs linternet au travers dun
routeur ZeroShell : RouteurSite1. Ce client loue un serveur chez lhbergeur : Server2.2. Le
rseau local est en 10.0.12.0/24. La passerelle est 10.0.12.254.

Lhbergeur : Il dispose dun accs internet protg par ZeroShell : Router. Derrire ce
routeur, se trouvent deux serveurs : Server1.2 & Server2.2. Chacun de ces serveurs doit
pouvoir tre utilis sans contrainte depuis les sites de Client1 et Client2. Le routeur est
administr depuis le rseau 10.0.0.0/24. Son IP dans ce rseau est 10.0.0.254. Le serveur
Server1.2 est dans le rseau 10.0.1.0/24. La passerelle de ce rseau est 10.0.1.254. Le
serveur Server1.2 est dans le rseau 10.0.2.0/24. La passerelle de ce rseau est 10.0.2.254.

Comme je ne dispose pas de 3 sites physiques, de 4 serveurs et 3 routeurs, jai mont une maquette
construite sous Microsoft HyperV. Pour cela, jai cr un rseau priv simulant linternet : 10.0.3.0/24.
Chaque site dispose dune IP publique fixe dans ce rseau :

LeSite1 : 10.0.3.109

Le Site2 : 10.0.3.110

Lhbergeur : 10.0.3.101

Vous trouverez ci-dessous le rsum graphique de cette configuration.

Crer les VPN entre les Sites et lHbergeur

Cration VPN Site1 vers Hbergeur
Paramtrage Routeur
Crer 2 VPN, lun destination de Site1 (entre 10.0.3.101 & 10.0.3.109), lautre destination
de Site 2 (entre 10.0.3.101 & 10.0.3.110)

Se reporter larticle prcdent sur la cration dun vpn lan to lan pour les dtails

Attention chaque VPN requiert un port UDP diffrent

Paramtrage VPN Site1 cot Hbergeur

Paramtrage VPN Site1 cot RouteurSite1

Paramtrage VPN Site2 cot Hbergeur

Paramtrage VPN Site2 cot RouteurSite2

Crer les routes vers lhbergeur

Paramtrage RouterSite1

Tester laccs Internet

Tester laccs Server 1.2 (10.0.1.1)

Tester labsence daccs Server 2.2 (10.0.2.1)

Paramtrage RouterSite2

Tester laccs Internet

Tester laccs Server 2.2 (10.0.2.1)

Tester labsence daccs Server 1.2 (10.0.1.1)

Scuriser les espaces client cot hbergeur

Cration des routes destination de Site1 et Site2

Interdire les changes entre le ETH03 et ETH02 sur

Routeur

Depuis Server 1.2

Tester laccs vers linternet

Tester laccs vers Server 1.1 (10.0.11.1)

Tester labsence daccs de Server 2.2 vers Server 2.2 (10.0.2.1)

Tester labsence daccs de Server 2.2 vers Server 2.1 (10.0.12.1)

Depuis Server 2.2

Tester laccs vers linternet

Tester laccs vers Server 2.1 (10.0.12.1)

Tester labsence daccs de Server 2.2 vers Server 1.2 (10.0.1.1)

Tester labsence daccs de Server 2.2 vers Server 1.1 (10.0.11.1)

Cette solution permet bien dhberger deux serveurs mis la disposition de deux clients
distincts. Toutefois, si cette approche est assez simple mettre en uvre, elle impose
plusieurs contraintes importantes :

Disposer dune carte rseau par client hberg,

Les rseaux locaux des Site1 et Site2 doivent tre diffrents

La complexit du paramtrage du pare-feu croit exponentiellement avec le nombre de

clients.

Comment faire si deux clients ont le mme lan sur site ?

Nanmoins, cet article a t une approche intressante et nhsitez pas me faire part de
vos remarques car je ne suis pas un spcialiste des rseaux. Il y a peut-tre une faon
plus intelligente dutiliser Zeroshell