Tag: network

Repartir de zéro — EX2200 (Junos)

Oleksandr

Vous venez d’acheter un commutateur L2 (Layer 2) Juniper EX2200 sous Junos OS d’occasion, ou vous le migrez vers un nouveau site / nouveau VLAN ? Avant toute configuration, il est indispensable d’effacer la configuration résiduelle pour éviter les conflits (VLAN orphelins, ACL oubliées, IP de management inconnue, comportements imprévisibles) sur ce switch de couche 2.
Dans ce guide, je vous montre pas à pas comment remettre l’équipement dans un état propre, conserver l’accès administrateur et repartir de zéro en gardant le contrôle total.

Et, en fin de guide, vous trouverez aussi une procédure de réinitialisation usine complète (request system zeroize) si vous souhaitez repartir strictement de zéro.

Continue reading

Introduction à Wireshark

Oleksandr

 

Dans ce tutoriel, je vais commencer un survol général de Wireshark — probablement une des utilités les plus utiles qu’un admin système ou réseau peut avoir dans sa boîte à outils.
Si t’as déjà eu le réflexe de te demander « qu’est-ce qui circule sur mon réseau là, en ce moment ? », Wireshark, c’est littéralement la réponse à cette question.
Wireshark fait partie de la famille des programmes sniffer — ou, comme on dit entre nous, des “renifleurs”. Le mot vient de l’anglais to sniff, renifler, et c’est exactement ça : le logiciel « renifle » ton réseau, capture les paquets, les démonte morceau par morceau et te montre tout ce qui passe réellement entre les machines.
Imagine un facteur qui ne fait pas juste livrer le courrier, mais qui regarde les adresses, les timbres, les enveloppes — et qui peut même jeter un œil à l’intérieur si c’est nécessaire pour comprendre un problème.

Eh bien, un sniffer, c’est ce facteur-là, mais dans le monde numérique.
Sauf qu’au lieu de papier, il lit des paquets IP ; au lieu d’enveloppes, des en-têtes Ethernet et TCP ; et à la place de l’encre — des octets.

Il y a 2 types de sniffer:

En ligne de commande — simples, rapides, efficaces. Comme tcpdump ou tshark.
(J’ai d’ailleurs un tutoriel complet sur tcpdump)
Parfait pour les serveurs, les scripts, ou quand t’as juste SSH et pas d’interface graphique.
Graphiques — puissants, visuels, pleins de couleurs.
Le plus connu, c’est Wireshark. Il reconnaît des centaines de protocoles et affiche chaque paquet dans une arborescence claire :
Ethernet → IP → TCP → HTTP.

Wireshark, c’est un vrai microscope pour le réseau.
Avec lui on peut :

  • capturer le trafic sur n’importe quelle interface (Ethernet, Wi-Fi, VLAN, VPN, même USB) ;
  • voir en direct ce qui passe dans ton câble ou ton air ;
  • décortiquer les paquets couche par couche selon le modèle OSI ;
  • appliquer des filtres, des règles de couleurs, afficher des stats, des graphiques;
  • ouvrir ou exporter des fichiers .pcap pour les analyser plus tard.

Avec Wireshark, tu vois littéralement le pouls de ton réseau.
C’est l’outil parfait pour apprendre à comprendre TCP/IP, voir comment un handshake se fait, où les paquets se perdent, ou pourquoi une requête DNS prend trois plombes à répondre.

Continue reading

Configuration DMZ dans pfSense

Oleksandr

Dans le tutoriel précédent, nous avons créé plusieurs VLANs avec pfSense pour séparer les usages du réseau.
Aujourd’hui, on passe à l’étape suivante : ajouter une DMZ et y tester l’accès à un serveur web (un Raspberry Pi sous NGINX).
À quoi sert la DMZ, en vrai ? À exposer ce qui doit l’être sans donner de passe-droit au reste du réseau. On y place typiquement un site web, un serveur mail, un reverse proxy ou un petit service maison. Si l’un de ces services est mal configuré ou compromis, il reste enfermé dans la DMZ : pas d’accès direct aux postes, partages de fichiers, sauvegardes, ni aux autres VLANs. On obtient ainsi un espace « vitrine sur l’extérieur » contrôlé, idéal pour publier un service tout en gardant le cœur du réseau au frais.
Pour rendre la tâche plus difficile, nous n’allons pas simplement ajouter un VLAN de plus, mais couper un VLAN existant et réserver une partie de ses adresses pour cette zone. Concrètement, nous allons scinder le VLAN20 en deux sous-réseaux /27 :

  • la moitié basse 172.16.1.64/27 devient VLAN100_DMZ (passerelle 172.16.1.65),
  • la moitié haute 172.16.1.96/27 reste le VLAN20 (passerelle 172.16.1.97).

Le Raspberry Pi recevra une IP fixe en DMZ et sera joignable depuis le WAN grâce à un NAT sur les ports 80/443, tandis que le LAN et les autres VLANs resteront invisibles depuis cette zone. Continue reading

Configuration VLAN sur pfSense

Oleksandr

Dans le tutoriel précédent, je vous ai montré comment réaliser la configuration initiale de pfSense en mode graphique, avec quelques notions de dépannage et de configuration en mode texte.

Aujourd’hui, nous allons passer à l’étape suivante : la mise en place de VLANs sur pfSense.

Pourquoi est-ce important ? Parce qu’un réseau unique où tout le monde est mélangé n’est ni pratique ni sécurisé. Les VLAN permettent de diviser le réseau en segments logiques (IT, comptabilité, employés, etc.) et d’appliquer des règles de sécurité adaptées à chaque usage.

Avec cette approche, il est aussi possible de créer une zone DMZ pour héberger des serveurs accessibles depuis Internet, ou encore un réseau séparé pour les clients/visiteurs, totalement isolé du réseau de l’entreprise. Tout cela peut fonctionner en utilisant un seul port LAN de pfSense, à condition de le relier à un switch L2 capable de gérer le 802.1Q (VLAN tagging).

C’est une fonctionnalité qu’on retrouve dans toutes les entreprises, mais qui peut être tout aussi utile dans une petite structure ou même dans un labo d’apprentissage.

Et surtout, dans ce tutoriel je vais utiliser pfSense, une solution open source qui joue le rôle de routeur/pare-feu professionnel — une excellente alternative gratuite face aux solutions propriétaires comme Cisco.

Continue reading

Configurer une adresse IP statique sur Raspberry Pi (nmcli)

Oleksandr

Même si votre Raspberry Pi tourne sous Raspberry Pi OS “Bookworm” (Debian 12), la méthode « classique » de Debian pour fixer une IP ne s’applique plus telle quelle, tout comme la méthode utilisée sur les anciennes versions de Raspbian.

Il y a quelque temps, j’ai rédigé un tutoriel pour Raspbian Jessie (Debian 8) : on y utilisait le démon dhcpcd et l’on modifiait /etc/dhcpcd.conf (le fichier /etc/network/interfaces n’étant déjà plus employé directement). Cette approche reste valable pour les anciens systèmes.

Aujourd’hui, l’outillage a évolué :
Debian “classique” : configuration souvent via /etc/network/interfaces.

Debian Desktop (GNOME, KDE, XFCE, etc.) : gestion assurée par NetworkManager, comme sur les distributions modernes.
Raspberry Pi OS Bookworm : gestion assurée par NetworkManager, à piloter en ligne de commande avec nmcli.
• Et ce n’est pas propre au Raspberry Pi : Ubuntu Desktop, Fedora, Red Hat Enterprise Linux (RHEL 7+), CentOS, AlmaLinux, RockyLinux, openSUSE, Arch/Manjaro, Linux Mint, Pop!_OS utilisent aussi NetworkManager par défaut.

👉 Cela signifie que pour changer une adresse IP, on utilise plutôt des outils comme nmcli (la ligne de commande de NetworkManager).

Bien sûr, en interface graphique, la configuration se fait en quelques clics. Mais en SSH ou en ligne de commande, c’est plus instructif et reproductible.

Dans ce nouveau tutoriel, je vous montre pas à pas comment attribuer une adresse IP statique sur un Raspberry Pi 4 sous Raspberry Pi OS Bookworm, en utilisant la méthode moderne basée sur NetworkManager/nmcli.

Continue reading

Configuration du Routage Inter-VLAN avec un Switch L3

Oleksandr

Le routage inter-VLAN est une méthode essentielle permettant à des équipements situés dans différents VLAN de communiquer entre eux. Dans un précédent tutoriel, j’ai expliqué comment configurer le routage inter-VLAN en utilisant la méthode Router-on-a-Stick, où un routeur est utilisé pour gérer la communication entre les VLANs. Cependant, cette approche peut parfois engendrer un goulot d’étranglement, car tout le trafic inter-VLAN passe par une seule interface physique.
Une alternative plus efficace est d’utiliser un switch de niveau 3 (L3), qui intègre des fonctionnalités de routage comme un routeur traditionnel, mais avec des performances améliorées grâce au traitement matériel du trafic. Dans ce tutoriel, nous allons voir comment configurer le routage inter-VLAN avec un switch L3 en utilisant Cisco Packet Tracer.

Remarque : la configuration présentée ici est volontairement minimale afin d’illustrer le principe. Dans un environnement de production, il est indispensable de renforcer la sécurité et de configurer vos switches de manière appropriée.

Continue reading

Libérer de l’espace disque sur pfSense

Oleksandr

Avec le temps, même les systèmes bien entretenus comme pfSense finissent par accumuler des fichiers inutiles. Ce n’est pas toujours visible, mais chaque mise à jour du pare-feu peut laisser derrière elle une copie complète de l’ancien système, appelée environnement de démarrage. Au bout de quelques mois, ces copies s’empilent et occupent une part importante de l’espace disque.
Dans mon cas, j’utilise un Netgate SG-2100 Security Gateway équipé de pfSense. C’est un excellent appareil, fiable et performant, mais comme tout système ZFS, il n’est pas à l’abri d’un remplissage progressif du disque par des environnements anciens devenus obsolètes.
Un jour, vous vous connectez à l’interface et découvrez que plus de la moitié du disque est déjà utilisé. Vous vous dites que ce n’est pas si grave… jusqu’au moment où la prochaine mise à jour échoue, ou que les journaux systèmes ne peuvent plus être enregistrés. Dans certains cas, un simple fichier de log peut provoquer un comportement instable ou un redémarrage raté.
Dans ce tutoriel, je vous montre comment retrouver de l’espace disque sans danger, directement depuis l’interface web de pfSense. Aucune ligne de commande complexe, aucune manipulation risquée : vous allez reprendre le contrôle de votre système en quelques minutes.

Continue reading

Guide pratique pour tcpdump

Oleksandr

Imaginez avoir une loupe numérique pour observer chaque interaction de votre réseau en temps réel : tcpdump est justement cet outil. Que vous soyez administrateur réseau ou passionné de sécurité informatique, tcpdump permet de capturer, filtrer et analyser les paquets traversant vos interfaces réseau. C’est une solution incontournable pour diagnostiquer les problèmes de réseau, surveiller le trafic et détecter d’éventuelles menaces de sécurité. Dans ce guide, nous allons découvrir comment installer tcpdump, maîtriser sa syntaxe et explorer ses options essentielles pour une utilisation efficace.

Continue reading

Configuration d’une address ip statique sur Ubuntu 24.04

Oleksandr

Dans le monde fascinant de l’informatique et des réseaux, savoir configurer une adresse IP statique est une compétence indispensable pour tout administrateur système ou ingénieur réseau en herbe. Imaginez un serveur web ou un serveur de fichiers qui doit être toujours accessible sur le réseau : si son adresse IP change constamment, comment s’assurer qu’il reste joignable ? C’est là qu’intervient la configuration d’une IP statique. Cela permet d’assigner une adresse IP fixe à un dispositif, garantissant ainsi une connectivité stable.
Dans ce guide, nous allons explorer comment configurer une adresse IP statique sur Ubuntu 24.04 à l’aide de Netplan, un outil moderne de gestion des réseaux utilisé dans les versions récentes d’Ubuntu. Contrairement à Debian 12, où nous avons utilisé le fichier traditionnel /etc/network/interfaces, Ubuntu utilise désormais Netplan, qui offre une syntaxe plus lisible et simplifie la gestion des configurations réseau (du moins, c’est ce que l’équipe d’Ubuntu semble penser 😉), particulièrement dans les environnements avec plusieurs interfaces ou des configurations réseau complexes.
Netplan, introduit par Ubuntu depuis la version 17.10, utilise des fichiers de configuration au format YAML, ce qui rend les paramètres réseau plus simples et lisibles. Il reste compatible avec des gestionnaires comme NetworkManager et systemd-networkd, offrant ainsi plus de souplesse.
En suivant cette méthode, vous pouvez configurer le réseau de la même manière dans les distributions suivantes, qui utilisent également Netplan : Linux Mint, Pop!_OS, et Elementary OS.

Continue reading

Introduction à Nmap

Oleksandr

Dans ce guide, nous allons explorer Nmap, l’un des outils puissants intégrés à Kali Linux, installé ici sur VMware Workstation. Kali Linux est une distribution réputée pour les tests d’intrusion et la sécurité réseau, avec une large gamme d’outils permettant d’analyser et d’auditer les systèmes avec précision.
Avant de commencer nos premiers scans, il est essentiel de configurer correctement la carte réseau de votre machine virtuelle Kali. En passant la carte réseau en mode “Bridged” dans les paramètres de VMware Workstation, cela permet à votre machine virtuelle de fonctionner comme un appareil distinct sur le réseau, simplifiant ainsi l’accès aux autres équipements connectés.
Ensuite, nous plongerons dans les différentes fonctionnalités de Nmap, en commençant par ses commandes de base. À travers quelques exemples concrets, nous allons explorer un réseau en 192.168.0.0/24, où sont installés, entre autres, un Raspberry Pi et un ancien switch Cisco. Ces appareils serviront de base pour démontrer les capacités de Nmap.
Par souci de sécurité, j’ai pris soin de masquer les autres dispositifs présents sur mon réseau ainsi que les adresses MAC, afin de préserver la confidentialité des informations sensibles. 🙂

Continue reading