Professional Documents
Culture Documents
http://drtic.educagri.fr/
Mai 2010
1 Schma de principe
4 Installation
4.1 Pralable :
Avoir prpar un PC avec au moins 512 Mo de RAM et contenant 1, 2, 3 ou 4 cartes rseau en fonction de la configuration choisie. Il est prfrable de connecter directement les cartes leur lment actif respectif. Il est rappel que les diffrentes interface d'un FireWall ne doivent pas tre connectes au mme rseau physique ou alors uniquement sur des ports appartenant des VLAN 802.1q diffrents. En rgle gnrale, l'interface rouge est directement connect au port LAN de votre routeur d'accs Internet, le port vert au switch de votre rseau local, le port orange un switch (ou VLAN) ddi votre DMZ et enfin l'interface bleue directement votre switch ou VLAN ddi aux bornes WIFI. Nous considrons galement que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait l'aide d'un Routeur Ethernet, ce qui est la majorit des cas dans les tablissements. Relevez quelques paramtres clefs sur votre interface actuelle avant de vous lancez dans l'installation : vrifiez comment vous obtenez actuellement une adresse IP : adresse IP statique, par DHCP , par PPPOE ou par PPTP . si vous obtenez l'adresse par DHCP, vrifiez si votre systme possde un nom d'hte qu'il indique au serveur de votre FAI. rcuprez les adresses des serveurs de noms que vous utilisez. Le serveur DHCP de votre FAI peut vous fournir automatiquement ces adresses ou vous pouvez avoir les indiquer manuellement. relevez les ventuelles adresses par dfaut de sous-domaine. Cela vous permet d'accder certains services tels que mail ou news sans taper le nom d'hte complet. Voyez l'explication dans le paragraphe de configuration de DHCP . Aprs avoir tlcharg la dernire version stable sur le site sourceforge.net, gravez une image iso bootable.
Message indiquant la destruction de tout ce qui se trouve sur le disque dur Entrer Choix des langues :
Franais
ok
OK
support en cd puis OK
Les rseaux des EPLEFPA Guide IpCop La procdure de dtection du matriel et dinstallation des paquets commence alors :
Si le matriel lui plait alors la prparation du disque dur peut commencer : (cration de fichier log) = long ne pas sinquiter, laisser faire !
Une fois linstallation des paquets termine, passons au premier paramtrage du pare feu.
10
Si vous possdez une sauvegarde dIPCOP choisissez lemplacement sinon passer (slection avec espace puis tabulation pour descendre jusqu OK et entrer). Etape de configuration rseau
11
Sil y a un souci avec le driver par rapport votre carte vous pouvez obtenir cela
Saisir de lIP et le masque de lInterface verte (la carte qui sera relie votre LAN), par exemple : 10.31.1.2 avec le masque en 255.255.255.0
Les rseaux des EPLEFPA Guide IpCop retirer le cd Menu de Configuration du clavier Choisissez le bon clavier (gnralement fr-latin1)
12
Les rseaux des EPLEFPA Guide IpCop Menu de Nom d'hte Saisissez le nom dhte de votre serveur : (exemple : ipcop)
13
Si vous possdez un nom de domaine, indiquez-le ici. Si vous n'en possdez pas ou si vous ne souhaitez pas l'utiliser, vous pouvez trs bien accepter la valeur par dfaut, << localdomain >> . Si vous envisagez de mettre en place un VPN, vous pourrez prfixer << localdomain >> pour produire par exemple << x.localdomain >> et << y.localdomain >> Ce nom de domaine sera automatiquement utilis comme << suffixe de nom de domaine >> du serveur DHCP.
Les rseaux des EPLEFPA Guide IpCop Menu de Configuration RNIS (ISDN) Comme nous connectons notre interface rouge directement au routeur Internet , il faut dsactiver RNIS Choisissez le bouton rouge ad hoc (tabulation)
14
Menu de Rseau / Type de configuration rseau Maintenant il va tre possible de choisir le type de configuration du FireWall (gestion de dmz, gestion de zone wifi en fonction de vos besoins que vous aurez pralablement dtermin : et donc du nombre de cartes rseau que vous avez insr dans votre machine !
15
Dans notre exemple, nous choisissions une configuration 3 cartes Ethernet, la Rouge vers le routeur Internet, la verte vers le LAN et l'orange vers un switch DMZ.
Donc : configuration de type green orange red Menu de Rseau / Affectation des pilotes et des cartes Affectez les pilotes aux cartes en slectionnant rechercher IpCop doit trouver une carte et vous demander son affectation
16
Si possible pensez tiqueter les cartes physiquement : c'est parfois utile par la suite ... Puis de mme pour les autres affectations en utilisant la fonction de recherche automatique :
Les rseaux des EPLEFPA Guide IpCop Menu de Rseau / Configuration de l'adresse Ensuite il va falloir affecter une adresse IP a chaque carte par le menu Configuration des adresses : Interface par interface, en fonction du nombre de vos cartes, paramtrez les configurations IP :
17
Normalement la Green dj t faite prcdemment (celle cot LAN). Vous pouvez tout de mme revoir sa configuration en la slectionnant depuis la liste des interfaces. Si elles sont prsentes, vous configurez ensuite la carte Orange avec une IP prive de la zone DMZ, puis la bleue avec une IP prive du rseau WIFI. Enfin, si votre rseau ROUGE est de type Ethernet (majorit des cas en tablissement), vous devez indiquer la manire par laquelle l'interface obtient son adresse IP. Ceci dpend de votre FAI et du type de connexion.
18
L'adressage statique est utilis lorsque votre FAI vous fournit une adresse IP fixe (Cette adresse IP public fixe est gnralement dlivre sur votre demande auprs du FAI). Saisissez la dans le champ d'adresse IP de la bote de dialogue. IpCop dterminera automatiquement le masque de rseau. Vous pourrez toujours modifier ce masque si ncessaire. C'est le cas gnralement lorsque l'tablissement est adhrent au rseau RENATER ou que vous avez formuler une demande spcifique votre FAI. Attention: Votre rseau ROUGE doit possder une adresse IP statique si vous envisagez d'utiliser la fonctionnalit d'aliasing propose par IPCop. DHCP correspond au cas o votre FAI vous indique que vous devez utiliser un adressage automatique. La connexion ncessite alors d'indiquer un nom d'hte leur serveur DHCP. Ce n'est trs probablement pas le nom d'hte de votre IpCop. Vous pouvez ventuellement utiliser la premire partie du nom de domaine pleinement qualifi que vous avez relev lors de la rcupration des paramtres rseaux . Si votre connexion se fait par PPPOE, votre FAI fournira toutes les informations ncessaires la connexion de sorte que vous n'avez rien spcifier de plus aprs avoir slectionn cette mthode de connexion. Attention dans ce cas de figure la connexion se relance aux alentours de minuit pour changer d'IP. Si votre connexion se fait par PPTP, vous devez indiquer l'adresse IP du rseau ROUGE ainsi que le masque de rseau, tout comme dans le cas d'un adressage statique. Cette adresse est trs frquemment 10.0.0.150 avec le masque rseau 255.255.255.0. Si vous ne connaissez pas votre adresse IP: http://www.adresseip.com(depuis le reseau tester!!!) si elle change toute les 24h c'est que vous n'tes pas en statique!!!!! Quand vous en avez termin, choisissez le bouton Ok pour revenir au Menu de configuration rseau .
Si vous tes connect au rseau RENATER, vous tes trs probablement en adresse ip fixe. Sinon il y a de forte chance que vous soyez en PPPOE.
19
Menu de Configuration DNS et Passerelle DNS : Il s'agit gnralement de ceux fournis par votre FAI Passerelle : C'est l'adresse IP de votre routeur d'accs Internet
Menu de Configuration de DHCP A activer si vous souhaitez utiliser l'IpCop pour ce service. Dans ce cas, vous devrez indiquer la plage IP pour les baux dadresses dlivrer Menu de Mot de passe root utilis en console Menu de Mot de passe admin utilis pour l'interface WEB Menu de Mot de passe Backup utilis pour les oprations de sauvegarde Attention lors de la saisie des mots de passe le curseur ne bouge pas Notez bien vos diffrents mots de passe Installation termine, cliquez sur OK pour rebooter
20
Menu de Systme / Accs ssh Autoriser l'accs SSH et cochez toutes les croix
Les rseaux des EPLEFPA Guide IpCop Menu de Services / Serveur Mandataire (Poxy) Activez le service Activez le mode transparent sur Green (ventuellement sur Blue) Passez le cache 500 puis enregistrez
21
Les rseaux des EPLEFPA Guide IpCop Rcuprez les fichiers .tar.gz des add-on suivants : BOT (BlockOutTraffic) http://www.blockouttraffic.de/ Advanced Proxy http://www.advproxy.net/ URL Filter http://www.urlfilter.net/ OpenVPN http://www.openvpn.eu/ (Attention : le lien de sourceforge.net n'est plus jour)
22
Dcompressez ces archives dans des dossiers de votre pc laide de l'utilitaire WinRar qui gre les formats de fichier .tar et .tar.gz Tlchargez et installez le logiciel WinSCP sur votre PC (http://winscp.net/). Il vous permettra de transfrer les add-on sur votre serveur IpCop grce une connexion scurise SSH Excutez WinSCP en indiquant les paramtres de votre IpCop, par exemple : host name : 10.31.1.2 port : 222 root et mot de passe (Connexion en root obligatoire)
Choisir oui
23
Interface avec cot gauche les dossiers de la station Windows et cot droit les dossiers de lIPCOP.
Transfrez les dossiers entiers des add-on dans le rpertoire /tmp de votre IpCop
24
Attention lors de la dcompression ou lors du transfert, il est possible que les droits sur les fichiers soient modifis, ce qui pertuberait l'installation. Il faut donc modifier les droits laide du clic droit / proprits
Un systme de cases cocher permet de rtablir les droits en excution (cochez les X) :
25
Ensuite cest en ligne de commande sur le serveur quil va falloir dcompresser ces archives dans les sous dossiers prcdemment crs et lancer les installations de ces modules ! Vous pouvez galement vous connecter en mode console depuis votre PC en utilisant le logiciel Putty dont le paramtrage est le mme que celui de WinSCP vu prcdemment. Vous devez vous connecter sur le serveur avec le compte root Pour chaque add-on, vous devez vous positionner dans le rpertoire o vous l'avez copi grce la commande cd, par exemple cd /tmp/ipcop-advproxy , puis excuter la commande d'installation en fonction de l'add-on, en gnral ./install ou ./setup .
26
Les rseaux des EPLEFPA Guide IpCop Activez les logs Augmentez la Taille du cache en mmoire 32 et sur le disque 500
27
32
500
Vous pouvez choisir ensuite d'authentifier vos utilisateurs via un serveur LDAP, AD ou RADIUS. Attention, cette possibilit ne fonctionne pas avec le proxy en mode transparent.
Sauver et redmarrer
28
2. URL Filter
Idem pour de urlfilter : dcompression pralable puis installation au travers de Putty ou en direct sur le serveur firewall.
En interface web, dans le menu Services vous avez maintenant le sous menu filtre durl
29
Il faut d'abord activer le filtre d'URL dans le menu Services / Proxy avanc
Puis aller dans le menu Services / Filtre d'URL pour le paramtrer. IpCop intgre le chargement et la mise jour des Black lists tenues jour par lUniversit de Toulouse. Effectuez le tlchargement, paramtrez la frquence de mise jour et sauvegardez vos paramtres :
Les rseaux des EPLEFPA Guide IpCop Slectionnez les listes de site dont vous souhaitez interdire l'accs. Attention, certaines sont trs restrictives et bloque mme l'accs Google
30
31
Et enfin procder des rglages avancs comme, dfinir des adresses privilgies non filtres (votre propre PC par exemple ), personnaliser le message d'erreur, activer certains champs des logs, .
32
En interface web, vous avez prsent dans le menu Parefeu les sous menu grer le traffic sortant et configuration avance du BOT
Les rseaux des EPLEFPA Guide IpCop Dans le menu Parefeu / Grer traffic sortant choisir modifier
33
Vous devez ensuite saisir ladresse mac du poste autoris administrer votre IpCop. Vous trouvez ladresse physique mac de windows avec la commande : ipconfig /all
Ensuite indiquez le port 445, cochez les suivantes (idem ci-dessous), slectionnez reject et enfin cliquez sur le bouton enregistrer
Les rseaux des EPLEFPA Guide IpCop Par dfaut, comme son nom lindique, BOT (Block Out Traffic) va tout bloquer !!
34
Il sagit donc maintenant douvrir les ports ncessaires nos utilisations dans les EPLEFPA. Les configurations peuvent tres diffrentes en fonction de l'utilisation de ce firewall suivant qu'il protge un rseau pdagogique, un rseau administratif ou un mixte. Il faut dsormais crer des rgles dacceptation de flux de la carte verte (rseau LAN) vers la carte rouge (routeur Internet). Certains ports courants sont dj prsents dans BOT, et il suffira de les choisir dans une liste, dautres sont crer en tant que service : Exemple douverture de port, le 510 pour notre messagerie first class (@educagri.fr) :
35
Pour se simplifier la vie, il sera possible ensuite de crer des groupements de services, et ensuite il suffira de faire une rgle autorisant ce groupement de services sortir de linterface verte vers linterface rouge. Par exemple tous les protocoles de messagerie, puis un autre regroupement pour toutes les applis administratives
36
Il suffit ensuite d'autoriser en une seule rgle tout ce regroupement de services sortir du vert vers le rouge ou vers any .
37
Elle apparat ensuite dans liste des rgles actuelles du serveur IpCop
Les rseaux des EPLEFPA Guide IpCop Voici la liste des principaux services dont vous avez besoin dans le cadre d'un EPL. Vous pourrez les regrouper comme vu ci dessus avant de crer la rgle les autorisant.
38
Les rseaux des EPLEFPA Guide IpCop Exemple d'un regroupement de services pour les protocoles de messagerie :
39
40
4. OpenVPN (Zerina)
Pour Zerina (OpenVPN) : dcompression pralable, transfert en faisant attention aux soucis de droits, puis installation par la commande ./install. Le fichier d'installation de Zerina (install) doit tre modifi avant d'tre excut. En effet, l'add-on ZERINA contrle la version d'IpCop mais sans tre jour ... La solution tait sur un forum, (http://forums.ixus.fr) : il faut modifier le script d'installation. Vous pouvez le faire en tant que root directement par la console unix du serveur ou par l'utilitaire WinSCP en faisant un click droit/Editer sur le fichier install : On retourne sur WinSCP, on clique de droite sur le fichier install puis Editer ce qui ouvre une fentre d'dition. On descend peine un peu, jusqu' :
Sur la ligne de test if de la version (la premire ligne en slection ici), vous remplacez la version exige par l'installeur par celle que vous avez rellement install (dans notre exemple 1.4..20). Attention si vous avez mis jour la version 1.4.20 vers la 1.4.21, il faudra bien videmment saisir la valeur 1.4.21 Enregistrez le fichier modifi et excutez le.
41
Dans l'interface web, vous avez prsent dans le menu RPVs le sous menu OpenVPN qui va vous permettre de configurer votre serveur.
La suite de la configuration du serveur et des ses clients est dtaille dans le guide Les rseaux des EPLEFPA - Clients OpenVPN au chapitre traitant d'IpCop.