Onglet Interface-1

Nombre d'interfaces

Un module Amon ou AmonEcole peut avoir de 2 à 5 cartes réseau.

Le nombre d'interfaces activées se définit dans l'onglet Général de l'interface de configuration du module.

Cela ajoute autant d'onglets Interface-n que le nombre d'interfaces à activer choisi.

Configuration de l'interface

En mode expert, il est possible de configurer l'interface en mode DHCP[1].

Si l'interface est configurée avec un adressage statique[2], il faut renseigner l'adresse IP et le masque de sous-réseau.

En mode expert quelques variables supplémentaires sont disponibles.

Nom de l'interface réseau

Afin de respecter la convention Consistent Network Device Naming[3], le nom de l'interface réseau proposé dans l'interface de configuration du module correspond à son emplacement physique.

L'ordre de chargement des cartes réseau n'est donc plus susceptible d'être modifié en cas de changement matériel, contrairement aux versions précédentes qui utilisaient les adresses MAC[4] des cartes pour les identifier.

De ce fait, l'ancien fichier de configuration /etc/udev/rules.d/70-persistent-net.rules n'existe plus.

Truc & astuce

Ajouter des interfaces physiques supplémentaires à la variable Nom de l'interface réseau permet d’activer l’agrégation de liens Ethernet[5].

Remarque

Les noms réels des interfaces sont visibles dans le répertoire /sys/class/net/ :

# ls -d /sys/class/net/*

/sys/class/net/ens4 /sys/class/net/lo

Les interfaces gérées par EOLE sont enregistrées dans le fichier spécial : /var/lib/eole/config/persistent-net.cfg.

Nom de l'interface réseau de la zone

Ce champ permet de personnaliser le nom de l'interface logique associée à l'interface physique pour cette zone.

Activation du mode promiscuous pour l’interface

Par défaut, le mode promiscuous[6] est désactivé sur les interfaces réseau du module.

Toutefois, il peut être activé, par interface, pour permettre le fonctionnement du module dans certains types d’infrastructure.

Par exemple, le mode promiscuous doit être activé si le module utilise des conteneurs LXC[7] (AmonEcole et Scribe notamment) et est virtualisé grâce à VirtualBox.

Pour le désactiver, le passage de la variable à non et le reconfigure ne sont pas suffisants. Il faut, en plus, redémarrer le serveur.

Auto-négociation de la connexion pour l'interface

Par défaut, toutes les interfaces sont en mode auto-négociation.

Ce paramètre ne devrait être modifié que s'il y a un problème de négociation entre un élément actif et une des cartes réseau, tous les équipements modernes gérant normalement l'auto-négociation.

En passant cette variable à non, il devient possible de spécifier la vitesse et le duplex de la connexion.

Administration à distance

Configuration de l'administration à distance sur une interface
Configuration de l'administration à distance sur une interface

Par défaut les accès SSH[8] et aux différentes interfaces d'administration (EAD, Adminer, CUPS, ARV... selon le module) sont bloqués.

Pour chaque interface réseau activée (onglets Interface-n), il est possible d'autoriser des adresses IP ou des adresses réseau à se connecter.

Les adresses autorisées à se connecter via SSH sont indépendantes de celles configurées pour accéder aux interfaces d'administration.

Il est possible d'autoriser plusieurs adresses en cliquant sur Adresse IP réseau autorisée pour….

Truc & astuce

Le masque réseau d'une station isolée est 255.255.255.255.

Dans le cadre de test sur un module l'utilisation de la valeur 0.0.0.0 dans les champs Adresse IP réseau autorisée pour les connexions SSH et Masque du sous réseau pour les connexions SSH autorise les connexions SSH depuis n'importe quelle adresse IP.

Truc & astuce

La commande suivante permet d'observer les connexions SSH arrivant sur un serveur EOLE : tcpdump -ni $(CreoleGet nom_carte_eth0) port 22

Complément

Des restrictions supplémentaires au niveau des connexions SSH sont disponibles dans l'onglet Onglet Interface-0 partie Administration à distance

Configuration des alias sur l'interface

EOLE supporte les alias sur les cartes réseau. Définir des alias IP consiste à affecter plus d'une adresse IP à une interface.

Pour cela, il faut activer le support des alias (Ajouter des IP alias sur l'interface à oui) et configurer l'adresse IP et le masque de sous-réseau.

La variable Autoriser cet alias à utiliser les DNS de zones forward additionnelles permet d'autoriser le réseau de cet alias à résoudre les noms d'hôte des domaines déclarés dans la section Forward de zone DNS de l'onglet Zones-dns.

Truc & astuce

Il est possible d'ajouter d'autres adresses IP alias sur l'interface en cliquant sur le bouton + Adresse IP alias pour l'interface n.

Remarque

Si le support du RVP est activé une option supplémentaire est disponible :

  • Autoriser cet alias à utiliser les DNS de Forward RVP/AGRIATES : Si le service RVP est activé (onglet Services) et que le serveur est membre du réseau AGRIATES (onglet Rvp) la variable est disponible pour autoriser ou non cet alias à utiliser les DNS noms d'hôte de la zone AGRIATES.

En mode expert, si WPAD est activé, il est possible de modifier le port du proxy diffusé pour un alias donné.

Remarque

Par défaut, le port du proxy est défini à 3128.

Configuration des VLAN sur l'interface

Il est possible de configurer des VLAN[9] (réseau local virtuel) sur une interface déterminée du module.

Pour cela, il faut activer le support des VLAN (Activer le support des VLAN sur l'interface à oui) puis ajouter un VLAN à l'aide du bouton + Numéro d'identifiant du VLAN et configurer l'ensemble des paramètres obligatoires :

  • le numéro du VLAN ;

  • l'adresse IP de l'interface dans ce VLAN ;

  • le masque de sous réseau de l'interface dans ce VLAN.

La variable Autoriser ce VLAN à utiliser les DNS des zones forward additionnelles permet d'autoriser le réseau de ce VLAN à résoudre les noms d'hôte des domaines déclarés dans la section Forward de zone DNS de l'onglet Zones-dns.

Truc & astuce

Il est possible d'ajouter d'autres VLAN sur l'interface en cliquant sur le bouton + Numéro d'identifiant du VLAN.

Remarque

Si le support du RVP est activé une option supplémentaire est disponible :

  • Autoriser ce VLAN à utiliser les DNS de Forward RVP/AGRIATES : Si le service RVP est activé (onglet Services) et que le serveur est membre du réseau AGRIATES (onglet Rvp) la variable est disponible pour autoriser ou non ce VLAN à utiliser les DNS noms d'hôte de la zone AGRIATES.

En mode expert, si WPAD est activé, il est possible de modifier le port du proxy diffusé pour un VLAN donné.

Remarque

Par défaut, le port du proxy est défini à 3128.

Configuration DNS sur l'interface

Il est possible d'ajuster les paramètres du serveur DNS pour chaque interface réseau sauf pour l'interface 0.

  • Nom de la zone (pour résolution DNS) : entrée DNS correspondant à l'adresse IP de l'interface. Le nom (par défaut admin pour l'interface 1) doit être différent pour chacune des interfaces.

Configuration des zones de filtrage

La solution de filtrage permet de différencier 2 zones, ce qui permet de dissocier 2 politiques de filtrage majeures et distinctes comme par exemple une zone réseau administratif et une zone réseau pédagogique.

Il faut choisir à quelle zone appartient une interface. Cela s'effectue dans la configuration de chaque interface réseau en sélectionnant le numéro de la zone souhaité dans le champ Filtre Web à appliquer à cette interface.

Remarque

Les zones Filtre web 1 et Filtre web 2 correspondent chacun à une instance du logiciel de filtrage. La configuration de chacune des instances s'effectue dans l'onglet Filtrage web.

Accès au backend EAD

Pour permettre à un frontend EAD[10] distant de se connecter au serveur de commandes de l'EAD local, il faut l'autoriser explicitement pour chaque interface.

Par défaut, l'accès au backend est bloqué pour chaque interface.

Remarque

Si le pare-feu est désactivé (mode expert dans l'onglet Réseau avancé), ces autorisations ne sont plus visibles et l'accès est autorisé à tous les frontend depuis toutes les interfaces.

Configuration de la détection automatique du proxy

En mode expert, si WPAD est activé, il est possible de modifier le port du proxy diffusé pour l'interface.

Remarque

Par défaut, le port du proxy est défini à 3128.