Vous êtes sur la page 1sur 22

La configuration parfaite de la passerelle Zentyal

1. Prsentation
Zentyal est un serveur Linux SMB (Small and Medium Business), il vous permet de grer tous vos services de rseau travers une seule plateforme.Zentyal peut etre configurer comme une passerelle rseau, une infrastructure, UTM (Unified Threat Manager), ou un Office Communications Server.Toutes ces fonctionnalits sont totalement intgres et faciles configurer, il permet un vrai gain de temps aux administrateurs systme. Dans ce tutoriel, vous allez voir comment mettre en place Zentyal configur comme passerelle.Zentyal fournira l'infrastructure rseau de base, l'quilibrage de charge entre deux fournisseurs d'accs Internet, pare-feu et la mise en cache proxy HTTP et le filtrage de contenu. Toutes ces tapes sont bien expliques dans ladocumentation Zentyal, dont le lecture est vivement recommande. Noter que pour configurer une passerelle votre machine devra tre quip dau moins 2 interfaces rseaux physique (2 ethernet ou 1 ethernet et 1 wifi) Dans ce tutorial, nous utiliserons le modle suivant:

2. Installation
Zentyal tourne sur Ubuntu Server 10.04 afin qu'il fonctionne sur le mme matriel.Vous pouvez jeter un oeil la pagematrielle Ubuntu-certifi pour plus d'informations.Il y a deux faons d'installer Zentyal: 1.En utilisant l'installateur Zentyal que vous pouveztlcharger partir dusite Web du projet.C'est le choix recommand, il comprend toutes les dpendances de package pour l'installation hors ligne et permet galement une configuration personnalise. 2.Installez les paquets Zentyal sur Ubuntu Server 10.04, vous pouvez trouver les informations dtailles et l'URL du rfrentiel dans leGuide d'installation Zentyal.

Si vous installez Zentyal utilisant l'installateur, vous verrez cet cran lors du dmarrage partir du CD-ROM, linstallateur vous guidera tout au long du processus.Vous pouvez choisir les paramtres par dfaut dans le mode expert egalement.. Noter que Zentyal peut etre galement installer comme une machine virtuelle. Lquipe zentyal fourni les image pour VirtualBox, vmware, ou encore KVM. Zentyal fournit une interface web d'administration, laquelle sera accessible depuis nimporte quel poste de votre rseau interne (et externe aprs louverture du port dans le parefeu) condition dutiliser Google Chrome ou Firefox (ladresse du serveur Zentyal sera de la forme https://adresseipduserveurzentyal/)

.Le nom d'utilisateur et le mot de passe sont les mmes que vous avez saisie lors de l'installation.

Maintenant nous pouvons slectionner les paquets que vous souhaitez installer. Pour ce tutoriel, nous allons installer les paquets correspondant la passerelle.Nous installerons plus tard les modules DHCP et DNS en utilisant le module de gestion des logiciels.

Aprs cette tape tous les packages ncessaires la configuration de la passerelle sont installs. Linstallation vous guide travers des assistants de configuration pour les modules venant dtre installs, dans ce cas, les interfaces rseaux et le serveur LDAP.Nous pouvons ignorer la configuration du rseau pour

l'instant.

Pour le module de configuration LDAP, nous choisirons la mthode dinstallation dun serveru autonome. Notez que Zentyal sera capable detre un serveur Esclave dun autre serveur Zentyal ou encore, esclave dun serveur Windows Active Directory. Nous verrons ces configuations avances dans un autre tutoriel.

La passerelle Zentyal est maintenant installe.En suivant les tapes suivantes, vous allez configurer chaque module.

3. Rseau
Comme indiqu dans le scnario, vous devez configurer trois interfaces rseau, deux pour les routeurs externes et une pour le rseau interne.Zentyal permettra d'quilibrer le trafic entre les deux connexions Internet. Vous pourrez toutes fois nutiliser quun seul routeur externe ou utliser directement ladresse ip publique de votre FAI, si votre box vous le permet. Si vous nutilisez quune seule interface externe, vous ne pourrez configurer ni basculement, ni lquilibrage de la charge.

3.1. Interfaces
Aller laRseau -> Interfaceset configurer chaque interface en saisisant son adresse IP et le masque.Ne pas oublier de cocher les interfaces externes car Zentyal utilise cette info dans les rgles de pare-feu.Dans l'image suivante vous pouvez voir la configuration dune interfaces externes et interne.

3.2. Passerelles et l'quilibrage de charge


Maintenant que il vous faut mettre en place deux passerelles dans le tableau des passerelles (Rseau -> Passerelles). Si vous navez quune seul interface externe vous pouvez passer ce paragraphe.

Aller dansRseau - Trafic> Balancepourpermettre l'quilibrage de chargeentre les passerelles.

3.3. Basculement
Le Serveur Zentyal permet de faire un basculement sur les passerelles.Si l'une des passerelles ne fonctionne plus, elle sera dtecte et le trafic passera par l'autre.Ceci garantit une connexion Internet toujours active (sauf si les deux passerelles sont hors service au mme moment). Pour configurer le basculement, le module Events doit tre activ (danstat des modules).Vous devez galement activerle WAN Failoverdans la rubrique vnements. Enfin, vous devez ajouter des rgles de contrle de la connectivit.Lvnement de basculement (Failover) les utiliserera pour dtecter l'tat du lien cass (Rseau -> WAN Failover):

Ping vers la passerellevrifie si la passerelle fonctionne, mais pas la connexion Internet elle-mme, Ping un hte externepermet de tester la connectivit rapidement,
le test de la rsolution DNS est un peu plus lent, mais il vrifie comme son nom lindique la rsolution DNS, et le dernier,HTTP la demandeva faire une demande complte une page Web, il est plus complet mais aussi plus lent. Avec cette configuration Zentyal pinguera ladresse8.8.8.8toutes les 30 secondes.Si deux pings ou plus chouent pour une passerelle, elle sera dsactive.Lorsque la passerelle rcuperera les pings, elle sera de nouveau active.Aucun de ces vnements nauront une incidence sur la connectivit des utilisateurs finaux.Il est important de rgler un temps suffisant entre les tests.Dans ce cas, nous avons 6 ping pour chaque passerelles, ce qui devrait tre fait en moins de 30 secondes.

3.4. Les infrastructures de base


Afin de fournir une infrastructure de base pour le rseau interne, vous devez installer DNS et DHCP en utilisant les modules logiciels de gestion -> Composants Zentyal.

Maintenant, vous devez activer ces composants dans tat des modules.Si vous souhaitez que le DNS agisse comme un serveur de cache, vous pouvez configurerRseau -> DNS127.0.0.1(si vous configurez plus d'un serveur DNS, 127.0.0.1 devra tre le premier serveur):

Le serveur DHCP peut aussi tre configur pour le rseau interne (eth2 dans notre exemple): il permet de configurer automatiquement la passelle et le

serveur DNS pour les clients du serveur DHCP. Vous pourrez choisir une adresse de votre passerelle et DNS, differente de celle de votre serveur DHCP. Vous devrez ajouter une plage d'adresses IP par dfaut que vous voulez utiliser pour les clients, par exemple 10.0.0.20-10.0.0.100 dans notre cas Si vous souhaitez attribuer des ip fixes vos clients depuis votre serveur DHCP, vous devrez crer dabord des membres dans le module Objets en leur donnant une adresse IP et mac adresse de la forme suivante10.0.0.101/32, 00:0C:22:D4:K1:54. Il est vivement recommand de ne pas utiliser la mme plage DHCP pour vos machines en adressage DHCP fixe car votre serveur DHCP pourrait attribuer une adresse ip dj utilise vos membres. Le Serveur DHCP permet galement de saisir un domaine de recherche. Cette fonction vous permettra par exemple de raccourcir vos diffrentes requetes http sur un mme domaine.

4. Firewall
A ce stade, vous avez rseau qui fonctionne avec toutes les infrastructures de rseaux de base.Maintenant, nous allons jeter un oeil au parefeu Zentyal et regarder comment le configurer. Zentyal est scuris, par dfaut le pare-feu applique des rgles strictes sur les interfaces externes et autorise le trafic sortant du rseau local interne. Vous pouvez trouver les rgles configures dansPare-feu - Packet Filter>: Filtrage des rgles partir des rseaux internes aux Zentyal Filtrage des rgles pour les rseaux internes Filtrage des rgles pour le trafic sortant de Zentyal Filtrage des rgles partir des rseaux externes au Zentyal rgles Filtrage des rseaux extrieurs aux rseaux internes Les rgles ajoutes par les services Zentyal (Avanc)

Par dfaut, toutes ces table interdisent les connexions, si vous souhaitez autoriser une connexion ,vous avez besoin de crer une nouvelle rgle (les rgles sont appliques dans l'ordre).Voici quelques exemples courants: Permettre aux clients internes d'utiliser certains services, sauf LDAP:

Autoriser tout le trafic provenant de clients l'Internet:

Pour paramtrer de nouvelle rgles, vous devrez dabord saisir de nouveau objets (ou utiliser les mmes que ce dj utliser pour le serveur DHCP), mais aussi crer de nouveau service dans le module Services: Par exemple vous souhaitez ajouter le service VNC: Aller dans Service => Nouveau Service => Nommez ce service VNC, et valider. Une nouvelle ligne VNC apparaitra, vous devrez donc modifier ce service et saisir le port utiliser par votre service VNC.

5. Proxy HTTP
La dernire tape de ce tutoriel est la configuration de proxy HTTP.Celui-ci permet de diminuer la bande passante lors de la navigation des utlisateur sur internet en mettant les sites consult en cache. De plus il pourra galement filtrer le contenu de site web consult par vos utilisateurs, en interdisant les url de sites ou par le filtre de contenu. DansProxy HTTP -> Gnral, vous pouvez configurer le proxy HTTP en modetransparent, de cette facon les navigateurs de vos machines clientes n'auront pas besoin d'tre configurs, les demandes HTTP (port 80) seront automatiquement redirig par le proxy.Vous pouvez galement augmenter la taille du cache en fonction de votre matriel et de son utilisation. Enfin, vous pouvez ajouter des URL des exceptions de cache, de cette faon le proxy ne mettra jamais en cache les URLs listes.Ceci est utile si vous avez toujours besoin daccder une page dans sa dernire version.

Si vous rglez la politique par dfaut du proxy en Filtrer, celui-ci filtrera le requtes de vos clients par le filtre contenu que lon peut paramtrer dans Profils de filtres. Dans le menuproxy HTTP -> Profils de filtres, vous trouverez les profils dfinis par le filtrage.Vous pouvez configurer celui par dfaut, qui s'appliquera tous les utilisateurs. Vous pourrez configurer le seuil de filtrage de contenu et ajouter une listes de domaines interdits.Aussi, si vous souhaitez installer le module antivirus le proxy pourra lutiliser pour filtrer les tlchargements de virus.

Dans cet exemple, nous avons fait le choix de bloquer, en plus du filtre de contenu, lurl facebook.com. Mais gardez lesprit que le proxy ne filtre que sur le port http (soit le port 80). Dans ce cas, les utilisateurs peuvent encore atteindre la version HTTPS de la page. Pour bloquer ce trafic, vous devrez une rgles dans votre parefeu.Vous aurez galement besoin d'un objet (menu objets) contenant les diffrentes adresses IP des serveurs facebook.com:

Vous devrez aussi crer un nouveau service correspondant au protocole que souhaitez interdire.Dans ce cas, le protocole HTTPS (TCP avec le port de destination 443):

Enfin, vous devrez ajouter la rgle de pare-feu pour les rseaux internes pour bloquer le trafic correspondant votre nouvel objet et service :

6. Conclusions
Vous avez entirement configur votreserveur Zentyalcomme une passerelle avec quilibrage de charge, le basculement et le cache du proxy

HTTP.Zentyal sera galement en charge des infrastructures de base DHCP et DNS. Vous savez egalement paramtrer le parefeu en crant de nouveaux objets et services