Vous êtes sur la page 1sur 80

Manuel d'Administration

Chris Clancey Harry Goldschmitt John Kastner Eric Oberlander Peter Walker Patrick Bernaud
Version franaise

ric Boniface
Version franaise

Stphane Chartier
Version franaise

Olivier Gey
Version franaise

Erwann Simon
Version franaise Copyright 2002-2008 Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, Peter Walker Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, with no Front-Cover Texts, and with no Back-Cover Texts. A copy of the license is included in the section entitled GNU Free Documentation License.

Permission est accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.2 ou toute version ultrieure publie par la Free Software Foundation ; sans Section Invariable ; sans Texte de Premire de Couverture, et sans Texte de Quatrime de Couverture. Une copie de la prsente Licence est incluse dans la section intitule GNU Free Documentation License. 30 avril 2008 Historique des versions Version 0.1.0 (beta) Forward by Charles Williams Version 1.2.0 1.2.0 revisions Version 1.3.0 1.3.0 revisions Version 1.4.0 1.4.0 revisions Version 1.4.10 1.4.10 revisions Version 1.4.12 1.4.12 revisions 30 April 2008 HG, EO 13 December 2005 HG, EO 30 August 2004 CC, HG, JK, EO, PW 4 May 2003 HG 10 Jan 2003 RW

29 Dec 2001

CW

Avant-propos Mentions lgales


IPCop est sous Copyright du IPCop Linux Group. IPCop Linux est couvert par la GNU General Public License. Pour plus d'informations, consultez le site web d'IPCop. Vous avez le droit de copier tout ou partie de ce document du moment que cette dclaration de copyright accompagne la copie. Les informations contenues dans ce document sont susceptibles de changer d'une version l'autre. Tout a t fait pour que le contenu de ce document soit exact et jour. Cependant l'absence d'erreur ne peut tre garantie. De ce fait, IPCop dcline toute garantie explicite ou implicite quant aux ventuelles erreurs contenues dans ce manuel et aux dgts qu'elles pourraient entraner sur la disponibilit ou la performance du produit. L'usage dans ce document de noms dans un sens gnral, de noms d'entreprises, de noms de marques, etc ne signifie pas que leur usage est libre selon les termes de la lgislation sur les marques et qu'ils peuvent tre utiliss par tous.

Tous les noms de marques sont utiliss sans garantie de libre utilisation et peuvent tre des marques enregistres. En rgle gnrale, IPCop se conforme la notation adopte par le fabricant. Les autres produits mentionns peuvent tre des marques enregistres par leurs fabricants respectifs. Premire dition - 29 dcembre 2001 Rdacteur - Charles Williams. Je souhaite remercier toutes les personnes qui ont vrifies et corriges ce document, savoir : Harry Goldschmitt, Mark Wormgoor, Eric S. Johansson et le reste du groupe IPCop Linux. Seconde dition - 10 janvier 2003 Rdacteurs - Chris Clancey, James Brice, Harry Goldschmitt, and Rebecca Ward. Troisime dition - 25 avril 2003 Rdacteurs - Chris Clancey, Harry Goldschmitt, and Rebecca Ward. Quatrime dition - 25 septembre 2004 Rdacteurs - Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander and Peter Walker.

Prface
Bonjour. Au nom de notre Chef de Projet, Jack Beglinger, l'quipe de Documentation vous souhaite la bienvenue dans ce Manuel d'Administration d'IPCop. Nous profitons d'ailleurs de ce document pour vous remercier d'valuer notre pare-feu et nous esprons qu'il satisfait vos besoins. L'quipe veut galement remercier, pour sa prsence et sa prcieuse assistance aux utilisateurs novices ou expriments, la communaut btie autour d'IPCop Linux. Nous souhaitons enfin remercier l'quipe SmoothWall pour avoir fait natre cette communaut. Que vous soyez un utilisateur convaincu mettant jour son installation ou bien un nouvel utilisateur prparant sa premire installation, nous esprons que vous trouverez dans ces pages tout ce qui vous est ncessaire pour prendre en main votre nouvel IPCop. Si, pour une raison ou pour une autre, quelque chose n'est pas trait ici et que vous estimez qu'il le devrait, prenez contact avec nous pour nous le faire savoir. Nous aimons avoir un retour de nos utilisateurs (en ralit, certains parmi nous sont seuls, assis derrire leur cran longueur de journes : un petit message ne peut que leur faire plaisir) et nous ferons de notre mieux pour vous satisfaire. Vous pouvez maintenant vous relaxer et profiter pleinement de l'Internet sans souci. Voici tout de mme quelques pistes pour celles et ceux qui ne souhaitent pas prendre le temps de lire ce manuel et sont trop impatients de pouvoir utiliser leur IPCop. La premire version d'IPCop tait en fait une version intermdiaire pour nous permettre d'identifier les problmes de la distribution IPCop Linux. Nous en sommes maintenant la troisime publication relle. S'il vous arrivait de dcouvrir un problme, commencez par vrifier qu'il n'est pas trait dans la Foire Aux Questions d'IPCop. Nous faisons notre possible pour maintenir jour cette FAQ

chaque nouveau problme dtect et rsolu (que cela soit en le contournant temporairement ou en apportant une solution dfinitive). Si votre problme ne trouve pas sa rponse dans la FAQ, il est toujours possible de nous rejoindre sur IRC (serveur : irc.openprojects.net canal: #ipcop), d'appeler l'aide sur une des listes de diffusion du projet ou bien encore de contacter directement le groupe IPCop Linux pour assistance. Comprenez bien que vous obtiendrez plus rapidement une rponse avec les trois premires mthodes. En effet, le dlai de rponse d'une requte envoye directement au groupe IPCop Linux est proportionnel la charge du dveloppement assur par l'quipe. Vous pourrez trouver de plus amples informations, des rponses aux questions frquemment poses, les adresses des listes de diffusion et les coordonnes compltes pour contacter le groupe IPCop Linux sur notre site web : Site Web IPCop.

Chapitre 1. Introduction par le Chef de Projet


Bienvenue et merci d'valuer ou d'utiliser IPCop.

Qu'est ce qu'IPCop ?
Eh oui, qu'est ce que c'est qu'IPCop ? 1. IPCop est un pare-feu et il le restera. 2. IPCop est une distribution Linux spcialise, complte, adapte et prte protger vos rseaux informatiques. Elle est pour cela distribue sous les termes de la GNU General Public License : son code source peut tre tlcharg, valu et mme modifi. Elle peut tre entirement recompile par vos soins pour servir au mieux vos besoins personnels ou rpondre des impratifs de scurit particuliers. 3. IPCop est une communaut dont les membres s'entraident avec le souci de toujours faire progresser le projet. Il peut s'agir d'expliquer des dbutants les bases des rseaux informatiques ou d'aider la personnalisation d'IPCop pour des besoins spcifiques tels que la tlphonie par Internet (VoIP) et l'implantation d'IPCop en entreprise. La rponse correcte cette question pige est donc : les trois la fois. Motivations : IPCop a t cr en rponse plusieurs besoins. Le premier d'entre eux tait le besoin d'une protection sre et efficace de nos rseaux qu'ils soient personnels ou d'entreprises. Lorsque le projet IPCop a t lanc en octobre 2001, il existait dj d'autres pare-feu. Mais l'quipe IPCop d'alors a considr qu'ils ne satisfaisaient pas deux autres des besoins prcdents : GPL et le sens de la communaut.

Le groupe fondateur d'IPCop a alors dcid de partir du code de base d'un pare-feu sous GPL et de faire les choses diffremment. L'objectif tait de remanier ce code pour se mettre l'coute des attentes de sa communaut d'utilisateurs. Parmi ces attentes se trouvaient celle de laisser chaque utilisateur la possibilit de crer son propre IPCop, celle de proposer et d'ajouter des amliorations et celle d'apprendre grce au travail des autres. C'est grce ces objectifs clairs, en tudiant l'existant et en coutant ses utilisateurs qu'IPCop a pu progresser et progresse toujours. Cette communaut permet IPCop de mrir et IPCop l'aide progresser. Aujourd'hui, aprs prs de deux ans et demi, la premire rvision majeure d'IPCop est publie. Avec elle, nombre de fonctionnalits intressantes ont t ajoutes : le support de quatre rseaux, la dtection d'intrusion sur tous les rseaux et une nouvelle interface encore plus pratique n'en sont que quelques exemples. Encore une fois, soyez les bienvenus dans IPCop !

Jack Beglinger Chef du Projet IPCop

Aperu des fonctionnalits


filtrage rseau par IPTable ; support des disques IDE, SCSI et CF (Disk on Chip) ; possibilit d'organisation du parc en quatre rseaux : o VERT Rseau interne de confiance ; o BLEU Rseau sans-fil, confiance limite (peut galement tre utilis en deuxime rseau VERT) ; o ORANGE Zone dlimitarise (DMZ) pour les serveurs accessibles depuis l'extrieur ; o RED Rseau de connexion l'Internet par : modem RTC ISDN carte d'interface rseau connecte : un modem DSL, un modem-cble. USB connect (avec les pilotes matriels appropris) : un modem DSL, un modem-cble. support de plusieurs relles adresses IP sur le rseau ROUGE dans une configuration IP statique ; client DHCP sur le rseau ROUGE pour obtenir l'adresse IP du FAI, avec en plus la gestion du DNS dynamique au changement d'IP ; serveur DHCP sur les rseaux VERT et BLEU pour simplifier la mise en place et la maintenance des rseaux ; client NTP pour le rglage automatique de l'heure de la machine IPCop et serveur NTP pour les machines des rseaux VERT et BLEU ; sonde de dtection d'intrusions sur TOUS les rseaux (ROUGE, ORANGE, BLEU et VERT) ;

Rseau Priv Virtuel (RPV ou VPN) pour interconnecter plusieurs sites distants dans un unique grand rseau logique ; serveur mandataire Web et DNS pour diminuer les temps de connexion et simplifier la gestion du rseau ; administration de la machine, aprs installation, par une interface web scurise permettant : o l'affichage des performances du processeur, de la mmoire et des disques ainsi que le trafic rseau par des graphiques ; o la visualisation des journaux d'vnement et l'archivage automatique de ces derniers ; o le choix entre plusieurs langues. utilisation possible de matriel dpass : 386 ou mieux. La version 1.4 a t teste avec succs sur un 486sx25 disposant de 12Mo de RAM et 273Mo de disque dur. Il s'agissait de la plus ancienne et la plus modeste des machines disponibles au moment du test. L'installation a t faite par le rseau. Cette configuration s'est avre tout fait correcte pour une connexion par modem-cble 3Mb/s.

Remerciements
IPCop est tout la fois un projet collaboratif et un projet reposant sur des composants existants de grande qualit. Ces remerciements sont adresss nombre de personnes ayant aid directement ou indirectement, ainsi qu' tous ceux, anonymes, qui ont permis le dveloppement du projet mais dont le nombre nous empche de les lister ici. ces derniers, j'adresse personnellement tous mes remerciements et mes excuses pour l'absence de leur nom. Pour tout le reste, merci Une liste plus complte et jour est consultable directement sur la page SystmeCrdits de votre IPCop. quipe principale Mark Wormgoor Dveloppeur Principal. Alan Hourihane Dveloppeur SMP & SCSI. Gilles Espinasse . Harry Goldschmitt Chef de l'quipe de Documentation. Eric Oberlander Dveloppeur & Coordinateur Traductions. Dveloppeurs. Mark Wormgoor, Alan Hourihane, Eric S. Johansson, Darren Critchley, Robert Kerr, Gilles Espinasse, Steve Bootes, Graham Smith, Robert Wood, Eric Oberlander, Tim Butterfield et David Kilpatrick. quipe de documentation. Harry Goldschmitt, Chris Clancey, John Kastner, Eric Oberlander, Peter Walker. quipes de traduction. Coordinatrice traductions : Rebecca Ward Dveloppeur site Web/base de donnes traductions : Marco van Beek Afrikaans : Johann du Preez Arabe : Ghalia Saleh Shariha, Salma Mahmod Ashour Bulgare : Alexander Dimitrov

Portugais brsilien : Edson-Empresa, Claudio Corra Porto, Adilson Oliveira, Mauricio Andrade, Wladimir Nunes. Catalan : Albert Ferran Casas, Sergi Valls, Josep Sanchez, Toni Chinois (simplifi) : Vince Chu, Yuan-Chen Cheng, Sohoguard. Chinois (traditionnel) : Ronald Ng. Tchque : Petr Dvoracek, Jakub Moc. Danois : Michael Rasmussen. Hollandais : Gerard Zwart, Berdt van der Lingen, Tony Vroon, Mark Wormgoor, Maikel Punie. Finois : Kai Kpl. Franais : Bertrand Sarthre, Michel Janssens, Erwann Simon, Patrick Bernaud, Marc Faid'herbe, Eric Legigan, Eric Berthomier, Stphane Le Bourdon, Stphane Thirion, Jan M. Dziewulski,spoutnik, Eric Darriak, Eric Boniface, Franck Bourdonnec. Allemand : Dirk Loss, Ludwig Steininger, Helmet, Markus, Michael Knappe, Michael Linke, Richard Hartmann, Ufuk Altinkaynak, Gerhard Abrahams, Benjamin Kohberg, Samuel Wiktor. Grec : Spyros Tsiolis, A. Papageorgiou, G. Xrysostomou. Gujart : Kartik Mistry Hongrois : dm Makovecz, Ferenc Mnyi-Szab. Italien : Fabio Gava, Antonio Stano, Marco Spreafico. Japonais : Adam Barbary Raina Otoni Latino Spanish : Fernando Diaz. Lituanien: Aurimas Fieras. Norvgien : Morten Grendal, Alexander Dawson, Mounir S. Chermiti, Runar Skraastad, Alf-Ivar Holm. Persan (farsi) : Ali Tajik, A T Khalilian. Polonais : Jack Korzeniowski, Piotr, Andrzej Zolnierowicz, Remi Schleicher. Portugais : Luis Santos, Renato Kenji Kano, Mark Peter, Wladimir Nunes, Daniela Cattarossi. Roumain : Viorel Melinte. Russe/ukrainien : Vladimir Grichina, Vitaly Tarasov. Slovaque : Milo Mrz, Drlik Zbynek. Slovne : Miha Martinec, Grega Varl. Somalien : Mohamed Musa Ali. Espagnol : Curtis Anderson, Diego Lombardia, Mark Peter, QuiQue Soriano, David Cabrera Lozano, Jose Sanchez, Santiago Cassina, Marcelo Zunino, Alfredo Matignon, Juan Janczuk. Sudois : Anders Sahlman, Christer Jonson. Tha : Touchie. Turc : Ismail Murat Dilek, Emre Sumengen. Ourdou : Mudassar Iqbal Vietnamien : Le Dinh Long. Autres projets et socits : Traverse Technologies Improved Dual ISDN and DOV support, Linux from Scratch (LFS) base de code pour IPCop 1.4, FreeSwan et OpenFreeSwan IPSec et logiciel de VPN, Smoothwall origine et source d'inspiration du projet, ainsi que d'autres trop nombreux pour les citer tous. Remonter ^

Chapitre 2. Administration et Configuration Page d'accueil de l'interface d'administration


Figure 2.1. Page d'accueil Page

Pour accder l'interface d'administration d'IPCop, il suffit d'ouvrir un navigateur et d'entrer en adresse soit l'adresse IP de l'interface VERTE, soit le nom d'hte du serveur IPCop, le tout suivi du numro de port 445 (https/secure) ou 81 (redirig automatiquement vers 445) : https://ipcop:445 ou https://192.168.10.1:445 ou http://ipcop:81 ou http://192.168.10.1:81.

Remarque : abandon de l'coute sur le port 81 en HTTP


compter de la version 1.4.0 d'IPCop, les connexions HTTP au port 81 sont automatiquement rediriges sur le port 445 en HTTPS. Au moment de la conception d'IPCop, il y a de cela quelques annes, seule une poigne de navigateurs supportait le protocole HTTPS. Le port 81 tait utilis par tous les autres. La plupart a maintenant disparu ou s'est adapte. La transmission en clair des mots de passe de votre IPCop tant par nature risqu, il a t dcid d'abandonner les connexions HTTP. Pour les utilisateurs habitus au port 81, les connexions sur ce port sont automatiquement rediriges sur HTTPS. Si vous utilisez encore un navigateur ne supportant pas HTTPS, pensez le mettre jour ou le remplacer.

Modification du numro de port pour HTTPS


Dans certaines situations, il est ncessaire de changer le numro de port servant aux connexions scurises. Il s'agit d'viter un conflit avec le port 445 utilis par les Directory Services (SMB sur TCP/IP) des versions rcentes de Windows. Certains FAI bloquent systmatiquement ce port 445 pour raison de scurit, c'est dire pour empcher la propagation de virus. Un utilitaire en ligne de commande du nom de setreservedports a t introduit avec la version d'IPCop 1.4.8. Il permet de modifier le port scuris d'coute de l'interface d'administration.

$ /usr/local/bin/setreservedports 5445

Mme si le port numro 5445 est suggr dans l'exemple prcdent, n'importe quel numro de port entre 445 et 65565 convient tout aussi bien. S'il vous arrivait d'oublier le numro de ce port, vous pouvez toujours utiliser le protocole non scuris HTTP et le port 81 : votre requte est alors automatiquement redirige. La page d'accueil de l'interface d'administration de votre IPCop apparat dans votre navigateur. Vous pouvez d'ores et dj explorer les diffrentes options et les informations disponibles par le biais de cette interface. Vous trouverez ci-dessous la liste des options principales de configuration/administration. Lorsque vous vous sentirez suffisamment l'aise avec le systme, continuez avec les sections suivantes de ce manuel. Les pages web d'administration d'IPCop sont accessibles par des onglets en haut de l'cran : Systme : Configuration du systme et fonctions associes IPCop. Etat : Prsentation dtaille de l'tat de plusieurs lments de votre serveur IPCop. Rseau : Configuration/Administration de vos paramtres de connexion. Services : Configuration/Administration de nombreux services optionnels de votre serveur IPCop. Pare-feu : Configuration/Administration de la fonction pare-feu de votre serveur IPCop. RPVs : Configuration/Administration de votre ventuel Rseau Priv Virtuel. Journaux : Consultation de tous les journaux d'vnements gnrs par votre serveur IPCop (pare-feu, sonde de dtection d'intrusion, etc). Cette page d'accueil est une des nombreuses pages qui diffre selon la configuration d'IPCop. Par exemple, si votre connexion est de type Ethernet par l'interface ROUGE, la page d'accueil n'affiche pas de nom de connexion. Figure 2.2. Page d'accueil, connexion de type Ethernet

En revanche, si votre connexion l'Internet est de type PPP et en admettant que la configuration de la connexion est correcte, trois boutons viennent complter l'affichage prcdent.

Figure 2.3. Page d'accueil, connexion par modem

Note
Aucune connexion n'est affiche tant que vous n'avez pas fini de paramtrer votre serveur IPCop. Le nom de domaine pleinement qualifi de la machine IPCop apparat dans le coin suprieur gauche de la zone d'informations de connexion. Boutons de gestion de la connexion Connexion - Lance une tentative de connexion l'Internet. Dconnexion - Termine une connexion l'Internet. Rafrachir - Ractualise les informations donnes par la page d'accueil. En plus des boutons dcrits ci-dessus, le nom du Profil actuel utilis pour la connexion est affich. Il est suivi d'une ligne donnant l'tat actuel de la connexion. Ces tats sont les suivants : Inactif - Pas de connexion l'Internet et aucune tentative en cours. Connexion en cours... - Tentative de connexion l'Internet en cours. Connect - Actuellement connect l'Internet. Si une connexion l'Internet est en cours, l'tat est complt par un message utilisant le motif suivant : Connect ( #d #h #m #s) d=nombre de jours de connexion h=nombre d'heures de connexion m=nombre de minutes de connexion s=nombre de secondes de connexion Au dessous de ce bloc d'information sur le profil courant et l'tat de la connexion se trouve une ligne du genre :
7:07pm up 1 day, 7:21, 0 users, load average: 0.03, 0.01, 0.00

Cette ligne reprsente la sortie de la commande Linux uptime. Elle affiche l'heure courante, le nombre de jours/heures/minutes depuis le dernier redmarrage et le nombre d'utilisateurs connects sur le serveur IPCop. Les derniers nombres reprsentent la charge moyenne de la machine. Enfin, cette page peut vous informer sur la disponibilit de mises jour pour votre IPCop. IPCop dispose de deux utilisteurs web en plus de l'utilisateur root sur la console. Le premier se nomme admin. Grce cet identifiant, vous avez accs tous les crans de l'interface d'administration. L'autre identifiant, nomm dial, n'est autoris qu' utiliser les boutons Connexion et Dconnexion. Par dfaut, l'utilisateur dial est dsactiv ; pour l'activer vous devez lui assigner un mot passe. La consultation des crans d'accueil et d'information ne ncessitent pas d'authentification. Pour tous les autres, le mot de passe de l'utilisateur admin est requis.

Pages de l'onglet Systme


Cet ensemble de pages est conu pour vous aider administrer et contrler votre serveur IPCop. Pour y accder, slectionnez l'onglet Systme dans la partie suprieure de l'cran. Vous avez alors le choix entre : Accueil pour retourner la page d'accueil ; Mises jour pour rechercher et appliquer des correctifs votre IPCop ; Mots de passe pour changer le mot de passe de l'utilisateur admin, et ventuellement en assigner un l'utilisateur dial ; Accs SSH pour activer et configurer l'accs scuris votre IPCop par SSH ; Interface Graphique pour activer ou dsactiver l'utilisation de Javascript par l'interface d'administration et en changer le langage ; Sauvegarde pour sauvegarder les paramtres de configuration de votre IPCop, soit dans un fichier, soit sur une disquette. Ces paramtres peuvent aussi tre restaurs depuis cette page ; Arrter pour arrter ou redmarrer votre IPCop ; Crdits pour afficher la liste des nombreux volontaires et autres projets qui font d'IPCop ce qu'il est.

Page Mises jour


Cet page se dcompose en deux parties : 1. Le premier encadr prsente les correctifs disponibles et propose les liens permettant de les tlcharger et de les appliquer. Il vous offre aussi la possibilit de slectionner un type de noyau et librer ainsi de l'espace disque. 2. Le second encadr donne la liste des correctifs dj installs.

IPCop vrifie automatiquement la disponibilit de correctifs lors de chacune de vos connexions l'Internet. Vous pouvez galement lancer manuellement cette vrification en cliquant sur le bouton Actualiser la liste des mises jour. Pour chaque mise jour disponible, une courte description et un lien pour son tlchargement sont insrs dans ce cadre. En cliquant sur le bouton Tlcharger, vous rcuprez un fichier d'extension .tgz.gpg directement sur votre machine IPcop (ceci ne fonctionne pas correctement sur la version IPCop 1.4.20 cause d'un bug, vous devez donc installer manuellement la mise jour vers la version 1.4.21). La mise jour manuelle vous impose de tlcharger le fichier .tgz.gpg sur votre poste client, et non sur la machine IPCop comme prcdemment, l'aide d'un navigateur Web. Ceci fait, au niveau du champ Transfrer le fichier de mise jour, utilisez le bouton Parcourir pour slectionner le fichier sur votre machine cliente. Puis cliquez sur le bouton Chargement pour transfrer le fichier vers la machine IPCop et appliquer le correctif. L'espace disque de la partition /boot tant limit, les mises jour relatives au noyau doivent parfois tre scindes en deux. Pour augmenter cet espace disque, une option a t introduite permettant de slectionner et de ne conserver qu'un type de noyau parmi les deux installs par dfaut - un pour systme monoprocesseur et un pour systme multi-processeurs type SMP.

Aprs l'installation d'IPCop version 1.4.17, utilisez le bouton Actualiser la liste des mises jour pour profiter de la nouvelle page de mises jour. Dans la section Utilisation du disque, une case de couleur rouge indique un niveau d'espace disque libre insuffisant. Pour en librer plus, vous devez slectionner le type de noyau adapt votre machine en cliquant sur le bouton Slection du type de noyau. Ceci a pour effet de crer de l'espace sur les partitions /dev/root et /boot. Au redmarrage suivant, il est possible que vous deviez indiquer au lanceur grub le noyau utiliser si celui-ci ne se trouve pas en premire ligne du menu prsent. Les seuils d'avertissement d'un remplissage excessif d'une partition (conduisant une case de couleur rouge) sont de 20 Mo libres sur la partition /dev/root et 1 Mo libre sur la partition /boot. Le partitionnement automatique des disques SCSI ne permet le maintien que de deux versions de noyau (2.4.31 et 2.4.34) et deux types de noyau avant la saturation de la partition /boot. Sa taille a t amene de 8 10 Mo avec la version 1.4.18 d'IPCop. Le nettoyage du cache du serveur mandataire web (squid) peut galement permettre la libration d'espace disque sur la partition /var/log. Ce nettoyage se fait par un clic sur le bouton Vider le cache.

Note
Seules les mises jour IPCop officielles peuvent tre installes sur votre serveur IPCop. Certaines ncessitent un redmarrage manuel de la machine, lisez donc trs attentivement la totalit de la description de chacune avant de les appliquer.

Rsolution des problmes de mises jour


Si vous obtenez le message d'erreur Ceci n'est pas une mise jour autorise. , vrifiez que l'horloge de votre machine IPCop ne retarde pas : ce dcalage laisse penser gpg que le correctif a t sign dans le futur, dclenchant alors une erreur. Pour confirmer ce problme, consultez les messages enregistrs dans le fichier de journalisation /var/log/httpd/error_log.

IPCop tant frquemment install sur des matriels un peu anciens, il n'est pas rare que l'horloge du systme soit inexacte cause d'une dfaillance de sa batterie.

Page Mots de passe

La page Mots de passe vous permet de changer les mots de passe des utilisateurs admin et dial si vous le jugez ncessaire. Tapez deux fois le nouveau mot de passe pour l'utilisateur concern et cliquez sur le bouton Enregistrer. L'utilisateur dial est activ par l'assignation d'un mot de passe son identifiant. Cet utilisateur particulier est autoris se servir des boutons de la page Accueil de l'interface d'administration d'IPCop. Il ne peut en revanche ni modifier, ni consulter les autres pages. Servez-vous de cet utilisateur si vous possdez une connexion de type modem et que vous souhaitez autoriser vos utilisateurs initier les connexions l'Internet sans possder pour autant les droits de l'utilisateur admin.

Page Accs SSH


Cette page vous permet d'autoriser ou d'interdire l'accs distant votre machine IPCop par SSH. En cochant la premire des cases, vous rendez possible l'accs distant par SSH. Plusieurs autres options sont votre disposition. L'accs SSH est dsactiv par dfaut et nous vous recommandons de ne l'activer que lorsque vous en avez besoin et de le dsactiver par la suite. Figure 2.4. Accs SSH et cls d'hte SSH

Tout comme le HTTP et le HTTPS de votre machine IPCop utilisent respectivement les ports non-standard 81 et 445, le port attach SSH pour IPCop est le 222. Si vous vous servez d'une application graphique pour l'accs votre machine IPCop, pensez spcifier le port 222 dans les options de connexion. Si vous utilisez les commandes ssh, scp ou sftp et ce bien qu'elles soient proches, la syntaxe pour indiquer le port est diffrente. En admettant que votre machine IPCop possde l'adresse IP 192.168.254.1, les commandes s'crivent : SSH
$ ssh -p 222 root@192.168.254.1

SCP
$ scp -P 222 some/file root@192.168.254.1:

SFTP
$ sftp -o port=222 root@192.168.254.1

Reportez-vous aux pages de manuel sur votre machine cliente pour une explication complte de ces commandes. SSH Depuis cette page, les options SSH suivantes sont disponibles : Accs SSH En cochant cette case, vous activez SSH. moins de mettre en place un accs externe, le servive n'est utilisable que depuis le rseau VERT. Lorsque SSH est activ, toute personne ayant connaissance du mot de passe root d'IPCop peut s'introduire sur votre pare-feu et y obtenir une ligne de commande. Support du protocole SSH version 1 (requis uniquement pour les clients anciens)

En cochant cette case, les connexions de clients SSH version 1 sont autorises. L'activation de cette fonctionnalit est fortement dconseille. Il existe plusieurs vulnrabilits connues avec SSH version 1. Son utilisation doit se limiter un accs temporaire et seulement si vous disposez de clients version 1 sans possibilit de mise jour en version 2. La plupart des clients SSH, pour ne pas dire tous, supporte la version 2. Aussi pensez mettre jour vos clients. Autorise le transfert TCP Le fait de cocher cette case vous permet de crer des tunnels SSH chiffrs entre des machines protges par le pare-feu et des utilisateurs extrieurs. Pourquoi utiliser cela alors qu'IPCop propose dj un VPN ? Imaginez. Vous tes sur la route et quelque chose va mal sur l'un de vos serveurs. Vous n'avez pas mis en place une connexion VPN nomade. Si vous connaissez le mot de passe de votre IPCop vous pouvez utiliser le transfert de port pour traverser votre pare-feu IPCop et accder au serveur en question qui se trouve sur l'un des rseaux protgs. Les paragraphes suivants expliquent comment faire cela en admettant qu'un serveur telnet tourne sur la machine interne d'adresse IP 10.0.0.20. L'hypothse d'un systme Linux comme machine distante est galement faite. La commande putty sous Windows propose les mmes fonctionnalits mais vous y accdez par des botes de dialogue. Il est probable que vous ayez dj effectu l'une des premires tapes. 1. activez ou faites activer l'accs externe par le port 445, le port de HTTPS ; 2. utilisez les pages d'administration d'IPCop pour autoriser l'accs SSH, le transfert TCP et l'accs externe par le port 222 ; 3. crez un tunnel SSH entre la machine nomade et la machine interne tournant un dmon SSH par la commande :
4. $ ssh -p 222 -N -f -L 12345:10.0.0.20:23 root@ipcop

-p 222 IPCop coute les requtes SSH sur le port 222, pas le port standard 22. -N Cette option, conjointement -f, demande SSH de se placer en tche de fond sans se terminer. Si vous utilisez cette option, vous devrez vous rappeler de tuer le processus SSH pour le terminer. Vous pouvez aussi ajouter sleep 100 la fin de la ligne de commande et supprimer l'option -N. Dans ce dernier cas, le SSH invoqu par la commande ssh se terminera aprs 100 secondes sans que ni la session telnet, ni le tunnel ne se ferment. -f Cette option permet de lancer SSH en tche de fond. -L

Ceci indique SSH de monter un tunnel en transfert de port dont les paramtres sont donns la suite. 12345 Il s'agit du port local utiliser pour le tunnel vers le service distant. Il doit tre suprieur 1024 sans quoi vous devrez tre root pour l'utiliser. 10.0.0.20 Ceci est l'adresse VERTE du serveur distant. 23 Il s'agit du port distant utiliser. Cette valeur de port correspond au service telnet. root@ipcop.fqn Et pour finir, ce paramtre indique que vous allez utiliser votre pare-feu IPCop comme agent de transfert de port. Vous devez disposer d'un identifiant pour vous logguer et seul l'identifiant root est disponible sur IPCop. Le mot de passe correspondant cet utilisateur vous sera demand. 5. Enfin, identifiez-vous auprs du service telnet distant en utilisant le tunnel.
6. $ telnet localhost 12345

localhost est le nom de la machine que vous utilisez. L'adresse loopback 127.0.0.1 correspond localhost. 12345 est le port local du tunnel spcifi lors de sa cration. Un tutoriel (en anglais) sur le transfert de port pour SSH est disponible chez Dev Shed. Permettre l'authentification par mot de passe Cette option permet d'autoriser les utilisateurs s'identifier sur le serveur IPCop en utilisant le mot de passe root. Si vous dcidez de ne pas autoriser cela, commencez par configurer vos fichiers de clefs SSH et vrifiez attentivement que vous parvenez vous identifiez avec ces clefs. Permettre l'authentification par clef publique En cochant cette case, SSH peut utiliser l'authentification par clef publique. Il s'agit de la mthode recommande pour scuriser votre IPCop vis--vis de l'accs SSH. Cet article (en anglais) discute de l'utilisation de SSH-keygen pour gnrer des clefs RSA et de la faon de les utiliser. Cls d'htes SSH

Cet encadr liste les empreintes des clefs d'htes utilises par le SSH d'IPCop. Elles permettent de vrifier que la session est bien ouverte depuis la bonne machine. la premire ouverture de session depuis une machine, l'une des ces empreintes est affiche par SSH. Il vous appartient alors de vrifier que l'empreinte affiche par SSH correspond bien l'une des clefs affiches ici.

Page Interface Graphique


Cette page permet de contrler le fonctionnement et l'apparence des pages d'administration d'IPCop. Aprs chaque modification il est ncessaire de presser le bouton Enregistrer. Pour rinitialiser la configuration de l'interface graphique dans son tat d'origine, utilisez le bouton Restaurer les paramtres par dfaut puis pressez le bouton Enregistrer. Figure 2.5. Configuration de l'interface graphique

Affichage Autoriser le javascript . Les pages Web d'administration de la version 1.4.0 utilisent largement Javascript pour en amliorer l'apparence et l'ergonomie. Cependant, certains navigateurs ne fonctionnent pas toujours correctement avec Javascript. Si cette case n'est pas coche, les menus droulants de l'interface sont dsactivs et les lments qu'ils contiennent normalement sont placs horizontalement en haut de chaque page. Afficher le nom de la machine dans la barre de titre . En cochant cette case, le nom d'hte de la machine IPCop est affich en haut de chaque page. Si vous tes charg de la maintenance de plusieurs machines IPCop, cela vous permet tout moment d'identifier la machine dont l'interface s'affiche dans le navigateur. Rafrachissement automatique de la page d'accueil . Par dfaut la page d'accueil est mise jour lorsque IPCop se connecte l'Internet. Un clic sur le bouton Rafrachir recharge cette page avec la dure de connexion mise jour.

En activant cette option, la page d'accueil est automatiquement rafrachie toutes les 30 secondes de sorte que la dure de connexion affiche est rgulirement mise jour. De mme si la connexion est inactive, le message En attente de connexion la demande apparat. Choisissez la langue que vous souhaitez voir IPCop utiliser . Cette liste droulante vous permet de spcifier, parmi les 34 langues disponibles, la langue utilise par les pages d'administration d'IPCop. Vous avez aussi la possibilit de slectionner cette langue durant l'installation. Cependant, il peut ne pas tre disponible l'installation. L'quipe de traduction d'IPCop espre en ajouter de nouveaux grce l'appui de volontaires. L'ajout d'une nouvelle langue se fait lors d'une mise jour classique du systme. videmment, vous pouvez vouloir traduire par vous-mme IPCop dans une autre langue. Pour ce faire, nous vous serions gr de commencer par contacter le Coordinateur des Traductions d'IPCop, Eric Oberlander l'adresse e-mail <eoberlander@users.sourceforge.net>. Il se peut qu'une traduction soit dj en cours pour cette langue. Reportez-vous au document IPCop How To Translate (en anglais) pour de plus amples informations. Bips d'avertissement Bips de connexion/dconnexion . Par dfaut, votre machine IPCop met un signal sonore lors d'une connexion et le mme signal doubl lors d'une dconnexion. Pour un fonctionnement silencieux, dcochez cette case. Cette option ne concerne pas les mlodies de dmarrage et d'arrt de la machine.

Page Sauvegarde
Version 1.4.11 La page Sauvegarde a subi une refonte complte. Parmi les changements introduits se trouvent : la sauvegarde sur cl USB. pour des raisons de scurit, l'abandon des sauvegardes non chiffres. l'exportation de la cl de sauvegarde backup.key. La cl est protge l'aide du mot de passe de l'utilisateur backup pour la rinstallation et le fichier de cl inclut dsormais le nom d'hte. l'ajout du nom d'hte et de la date de sauvegarde dans le fichier backup.dat. Avant de rinstaller, effacez cette date du nom du fichier de sauvegarde utiliser. Un champ vous permet d'ajouter un commentaire chaque sauvegarde. Ce commentaire sera restaur au chargement de la sauvegarde. l'amlioration de la sauvegarde sur disquette.

La taille relle de la sauvegarde est indique. De mme le processus vrifie que la taille de la sauvegarde ne dpasse pas la capacit du support. Enfin il affiche les erreurs rencontres parmi lesquelles l'absence de disquette dans le lecteur ou une disquette dfectueuse. Figure 2.6. Sauvegarde de la configuration

Sauvegarde de la configuration sur disquette La partie haute de cet encadr de la page Sauvegarde vous permet d'effectuer une sauvegarde de votre configuration sur disquette. La seule faon de restaurer une telle configuration consiste rinstaller votre IPCop depuis un CD-ROM ou depuis un serveur HTTP/FTP. Vous aurez trs tt dans le processus d'installation la possibilit de fournir cette disquette. Les paramtres de configuration seront rcuprs et l'installation se terminera. Insrez une disquette dans le lecteur de la machine IPCop et cliquez sur le bouton Sauvegarde sur disquette. Les paramtres de la configuration courante sont copis sur la disquette. Le processus s'assure du bon droulement de l'criture. Information

Tous les messages d'erreur et les diffrentes informations gnres lors de l'opration de cration de la sauvegarde sont affichs dans la partie basse de l'encadr. Sauvegarde dans des fichiers Le reste de l'encadr vous permet de crer plusieurs jeux de sauvegardes et de slectionner un support sur lequel transfrer les fichiers ainsi crs. Le support par dfaut est le disque dur de la machine IPCop mais d'autres supports amovibles tels que les cls USB sont reconnus. Pour des raisons de scurit, les sauvegardes cres partir de la page Sauvegarde sont chiffres avec le mot de passe de l'utilisateur backup . Saississez ce mot de passe dans le champ Mot de passe de la sauvegarde et cliquez sur le bouton Exporter la cl de sauvegarde pour rcuprer la cl de sauvegarde. Cette cl est ncessaire pour installer depuis une cl USB ou encore pour restaurer une configuration suite une panne de disque dur. Pendant la procdure d'installation d'IPCop, elle vous est demande pour restaurer une configuration depuis une sauvegarde.

Mot de passe de la sauvegarde


Vous devez indiquer dans ce nouveau champ le mot de passe de l'utilisateur backup . Avec une installation rcente, vous avez dj spcifi ce mot de passe. En revanche si l'installation est plus ancienne et progressivement mise jour, vous devrez relancer le programme setup pour initialiser ce mot de passe. Pour ce faire, ouvrez une session super utilisateur sur votre machine IPCop soit directement depuis la console, soit par le rseau en SSH sur le port 222. Lancez le programme de configuration en tapant setup sur la ligne de commande. Slectionnez Mot de passe 'backup' dans la liste et tapez le nouveau mot de passe. Celui-ci doit comporter au minimum 6 caractres. Quittez le programme et terminez la session. Rcuprer la cl de sauvegarde Pour obtenir la cl de sauvegarde : 1. Initialisez le mot de passe de l'utilisateur backup . 2. Saisissez ce mot de passe dans le champ Mot de passe de la sauvegarde de la page Sauvegarde. En cliquant sur le bouton Exporter la cl de sauvegarde, la cl est exporte dans un fichier dont vous avez choisir l'emplacement o l'enregistrer. 3. Crez et exportez le fichier d'extension .dat (il n'est pas ncessaire d'entrer le mot de passe backup pour cela). Vous avez maintenant en votre possession tout le ncessaire pour installer et paramtrer l'identique un nouveau systme partir d'une cl USB ou d'un serveur HTTP/FTP. 4. Transfrez le fichier d'extension .dat, aprs avoir supprimer l'horodatage dans son nom, ainsi que le fichier de cl sur le support d'installation (cl USB ou serveur HTTP/FTP). La restauration de la configuration ainsi sauvegarde est automatique

l'installation condition de fournir le mot de passe backup et le nom d'hte correspondant aux donnes chiffres dans le fichier .dat.

Page Arrter
Cette page permet soit d'Arrter soit de Redmarrer le serveur IPCop. Cliquez sur le bouton correspondant l'action souhaite et voil. Il est aussi possible de planifier un redmarrage ou un arrt une certaine heure par la mise en place d'un cronjob . Figure 2.7. Arrt et planification des redmarrages

Pages de l'onglet tat


Cet ensemble de pages vous donne des informations et des statistiques quant au fonctionnement de votre serveur IPCop. Pour y accder, slectionnez l'onglet tat dans la partie suprieure de l'cran. Les pages suivantes sont disponibles : tat du systme tat du rseau Graphiques systme Courbes de trafic Graphes du proxy Connexions

Page tat du systme


Cette page rassemble un certain nombre de donnes utiles l'valutation de l'tat actuel de votre serveur IPCop au travers des encadrs suivants :. Services Services - Affiche les services actuellement en fonctionnement.

Mmoire

Mmoire - Renseigne sur le niveau d'utilisation de la mmoire et de la partition d'change (swap) de votre serveur IPCop.

Utilisation du disque Utilisation du disque - Informe de l'organisation en partitions du disque dur de votre machine IPCop et du niveau de remplissage de chacune.

Dure de fonctionnement et utilisateurs Dure de fonctionnement et utilisateurs - Affiche la sortie de la commande uptime et liste les utilisateurs actuellement connects votre IPCop.

Modules chargs Modules chargs - Donne une liste des modules chargs et en cours d'utilisation par le noyau GNU/Linux.

Version du noyau Version du noyau - Informe sur le noyau IPCop lui mme.

Page tat du rseau


En cours de rdaction... Interfaces Cet encadr affiche des informations sur toutes les interfaces rseau de votre machine IPCop. Y compris les interfaces de type PPP, IPSec, Loopback, etc.

Contenu en cours de vrification... Baux DHCP en cours Si le service DHCP est actif, cet ancadr reprend le contenu du fichier /var/state/dhcp/dhcpd.leases. Tous les baux actifs concds par le serveur DHCP d'IPCop sont lists. Pour chaque entre, la date d'expiration du bail est affiche de mme que le nom de la machine si ce dernier est connu. Les baux ayant expirs sont rayes.

Note
Cette page n'est visible que si le service DHCP a t activ. Voyez la section sur le serveur DHCP pour plus de dtails. Entres de la table de routage En cours de rdaction...

Entres dans la table ARP

En cours de rdaction...

Page Graphiques systme


En cliquant sur l'un des quatre graphiques (utilisation CPU, mmoire, swap et accs disque) de cette page, vous avez la possibilit de visualiser le relev de la grandeur sur l'espace d'un jour, une semaine, un mois et une anne.

Page Courbes de trafic

Cette page affiche un relev des trafics traversant votre serveur IPCop. Une courbe est disponible pour chaque interface rseau de votre IPCop (VERT, ROUGE, BLEU, ORANGE). Elle reprsente le relev du trafic entrant et sortant pour cette interface. En cliquant sur une courbe, vous obtenez une nouvelle page prsentant le mme relev mais sur l'espace d'un jour, d'une semaine, d'un mois et d'une anne.

Note
Lors du dveloppement de la version 1.4.0, il a t mis en vidence que l'outil rrdtool, utilis pour crer les graphiques, n'tait pas capable de grer les caractres spciaux ce qui s'avre tre gnant pour les langages dpendant du jeu de caractres UTF-8. C'est pourquoi, en attendant de trouver une solution, les textes sur les graphiques ne sont pas traduits.

Les courbes de trafic ne s'affichent pas


Ces courbes sont gnres par un script lanc toutes les cinq minutes grce une tche cron. Si elles ne s'affichent pas, vrifiez que l'heure de la machine est correcte et recherchez dans la section cron des journaux systmes les traces du fonctionnement du script. Si vous n'en trouvez pas, essayez de relancer le programme fcron en ouvrant une session super utilisateur et en excutant la commande fcrontab -z . Ou bien encore lancez manuellement le script makegraphs pour voir si il ne gnre pas de message d'erreur. Pour cela, ouvrez une session super utilisateur et excutez makegraphs depuis la ligne de commande. Les fichiers RRD (Round Robin Database) peuvent signaler un problme d'horodatage si l'horloge interne de votre machine IPCop a fait un saut important, en particulier s'il s'agit d'un retour dans le pass. Dans un tel cas, il peut tre ncessaire de supprimer ces fichiers qui se trouvent dans le rpertoire /var/log/rrd. Ils seront regnrs au lancement suivant de l'utilitaire makegraphs mais les donnes antrieures auront t perdues.

Page Graphes du proxy

Cette page affiche le trafic via le serveur proxy ou serveur mandataire Web d'IPCop. La premire section donne la date et l'heure de cration du graphique. Suivent le nombre de lignes analyses, la dure de l'analyse et la vitesse d'analyse (en ligne par seconde). Enfin, les dates et heures de dbut et de fin du graphique ainsi que le domaine (taille totale du graphique) sont indiqus. Ce graphique vous permet de contrler le bon dimensionnement du serveur mandataire au regard de la charge tenir.

Note
Les journaux d'vnements doivent tre activs sur la page d'administration du serveur mandataire sans quoi les graphiques ne seront pas gnrs.

Connexions

IPCop utilise les fonctionnalits de Netfilter ou d'IPTables pour crer un pare-feu tat (stateful firewall). Ce type de pare-feu conserve une trace des connexions pour lesquelles des machines des rseaux VERT, BLEU et ORANGE sont en jeu. Il utilise pour cela la fois les adresses IP source et destination des flux, les numros de ports de mme que l'tat de la connexion elle-mme. Ds lors qu'une connexion mettant en jeu des machines protges a t tablie, seuls sont autoriss traverser le pare-feu IPCop les paquets TCP/IP cohrents avec l'tat actuel de cette connexion . L'encadr Suivi des connexions IPTables donne une liste des connexions connues d'IPTables en entre et en sortie de votre IPCop. Chaque connexion fait l'objet d'une entre dans cette liste. L'interface laquelle appartient chacune des extrmits est reprsente par un code de couleur fonction de son emplacement sur le rseau La lgende de ce codage est rappele en haut de la page. En cliquant sur une adresse IP de cette liste, vous lancez une recherche DNS inverse. Les menus droulants permettent de filtrer et classer les entres de cette liste. Le rafrachissement de l'affichage intervient aprs un clic sur le bouton ! droite.

Arrt Utilisez l'un des boutons Redmarrer ou Arrter pour immdiatement redmarrer ou arrter votre serveur IPCop. Programmation des redmarrages d'IPCop La possibilit de programmer les arrts et redmarrages a t introduite avec la version 1.4.10. Un cronjob est ajout au crontab de l'utilisateur root. Pour un redmarrage rgulier une fois par jour, slectionnez l'heure depuis le menu droulant et cochez le ou les jours de

semaine souhaits. Slectionnez ensuite l'action souhaite (Redmarrer ou Arrter) avant de presser le bouton Enregistrer. Enfin pour supprimer un redmarrage ou un arrt programm, dcochez toutes les cases et pressez le bouton Enregistrer.

Pages de l'onglet Rseau


Page Connexion
Cette page se compose de cinq encadrs distincts qui ne vous seront utiles que si vous accdez l'Internet par un modem analogique, un dispositif RNIS ou une connexion DSL. Notez que vous ne pouvez pas choisir ou modifier un profil lorsqu'une connexion est active ou en cours d'tablissement. Avant de vous servir de cette page, vrifiez l'tat de connexion de votre IPCop en vous rendant sur la page d'accueil de l'interface d'administration. Si cette page affiche Connect ou En cours de connexion, vous devez commencez par cliquer sur le bouton Dconnexion avant de revenir sur la page prcdente. Aprs avoir paramtr ou slectionn un profil, retournez sur cette page d'accueil et utilisez le bouton Connexion pour rtablir une connexion l'Internet. Profils. Cet encadr vous permet de nommer et ajouter de nouveaux profils de connexion (dans la limite de cinq), de supprimer un profil ou bien encore de modifier les paramtres d'un profil particulier. Slectionnez un profil crer ou modifier dans la liste droulante. Compltez ou modifiez les paramtres pour ce profil l'aide des autres encadrs de cette page (voir ci-dessous) avant de cliquer sur le bouton Enregistrer. Pour indiquer le profil par dfaut, c'est dire le profil qui sera utilis lors des futures connexions l'Internet, choisissez-le dans la liste droulante et cliquez le bouton Slectionner en bas de page. Le bouton Restaurer permet quant lui de rtablir les paramtres sauvegards d'un profil. Connexion. Cet encadr vous permet de : 1. slectioner l'Interface approprie votre connexion Internet. Pour un modem analogique ou une carte ISDN, choississez le port de communication adapt (COM1 COM4). Pour les connexions de type DSL, l'interface doit tre de type PPPoE.

2. choisir le Dbit des donnes de l'ordinateur au modem. Ce paramtre fixe la vitesse de transfert entre votre machine IPCop et le priphrique de connexion. Avec des systmes ou des modems un peu anciens, il peut tre ncessaire de spcifier un dbit assez faible pour garantir une communication fiable entre l'ordinateur et le modem. 3. entrer le Numro de tlphone fourni par votre fournisseur d'accs. Avec une connexion de type PPPoE, ce champ sera vraisemblablement laiss vide. 4. choisir ou non de laisser le Haut-parleur du modem actif. Vous pourrez entendre la ngociation de la connexion entre votre machine et votre fournisseur d'accs si vous cochez cette case, ce qui peut vous aider diagnostiquer un ventuel problme. Cette option n'est utile que si vous possder une connexion l'Internet par modem analogique. 5. choisir le Mode d'appel. Utilisez l'appel par tonalit sauf si votre ligne tlphonique ne reconnat qu'une numrotation par impulsion. Cette dernire est sensiblement plus lente que la numrotation par tonalit. 6. indiquer le Nombre maximum d'essais avant l'abandon de la tentative. Ceci correspond au nombre de fois qu'IPCop essaiera de se connecter l'Internet aprs une premire tentative reste vaine. 7. spcifier la Dure maximale d'inactivit. Cette valeur permet IPCop de dcider que faire de votre connexion l'Internet lorsque rien n'est ni envoy ni reu. Dans un tel cas, IPCop attendra cette dure avant de clore la connexion automatiquement. En fixant ce champ 0, vous empchez IPCop de fermer la connexion de lui-mme. 8. demander une connexion Persistante pour faire en sorte qu'IPCop maintienne une connexion mme en l'absence d'activit sur le lien. Dans ce mode, IPCop essayera de se reconnecter chaque fois que la connexion est coupe, quelle qu'en soit la raison. Soyez prudent avec cette option : si vous payez votre abonnement au temps de connexion, vous souhaiterez trs probablement la laisser inactive. En revanche avec une connexion temps illimit (souvent appele "flatrate"), elle vous servira maintenir active votre connexion. Notez que mme en mode persistant, IPCop cessera toute tentative ds lors que leur nombre atteint la valeur du champ nombre maximum d'essais. Auquel cas il est ncessaire d'utiliser le bouton Connexion de la page d'accueil de l'interface d'administration. 9. demander une Connexion sur demande. Aprs avoir choisi ce mode de connexion vous devez utiliser une dernire fois le bouton Connexion de la page d'accueil de l'interface d'administration avant qu'IPCop s'en charge pour vous ds lors qu'il dtectera une activit. Ce mode n'est pas disponible pour les connexions de type PPPoE. 10. faire en sorte qu'IPCop tablisse une Connexion sur requte DNS c'est dire lorsqu'il reoit une regute de rsolution de nom. Il s'agit le plus souvent du comportement espr par l'utilisateur. 11. permettre IPCop de lancer automatiquement une connexion aprs un redmarrage si le mode Connexion la demande n'a pas t activ. Et mme dans le cas contraire, il peut tre intressant d'utiliser cette option. Elle permet en effet, avec l'ensemble des lments de configuration, de placer le systme IPCop dans le mode d'attente d'une connexion la demande chaque dmarrage ou redmarrage de la machine. 12. faire en sorte que votre modem mette un retour chariot pour signaler votre FAI une fin de transmission. Si tel est le cas, laissez coche la case Un retour chariot (CR) est requis par le FAI. Sinon vous pouvez dcocher cette case. Par dfaut elle est coche. Configuration avance PPPoE - si le mode de connexion est PPPoE ou ADSL USB, vous trouverez, dans cet encadr, des lments spcifiques de configuration. Parmi ceux-ci deux paramtres, le nom du service et le nom du concentrateur qui peuvent tre ncessaires votre

FAI. Laissez vide ces champs si votre FAI n'en a pas besoin ou s'il ne vous les a pas communiqu. Avec une connexion USB ADSL, votre FAI doit vous transmettre deux valeurs, VPI et VCI, que vous devez entrer dans les champs correspondants. Authentification . Les champs Nom d'utilisateur et Mot de passe vous permettent de saisir les identifiants fournis par votre fournisseur d'accs lors de l'abonnement. Il existe plusieurs techniques d'authentification auprs d'un FAI pralable une connexion. Les plus communes sont les mthodes par PAP et CHAP. Slectionnez celle que votre FAI utilise. Si il utilise un script de connexion, choississez plutt script d'identification standard dans la liste. Pour les rsidents du Royaume-Uni qui ont pour FAI Demon Internet, un script spcial a t crit. L'option autre script d'identification est rserve aux personnes dont le FAI a des besoins particuliers. Si tel est votre cas, vous devrez vous identifier sur la machine IPCop et crer un fichier dans /etc/ppp. Son nom doit tre report dans le champ nom du script. Ce fichier doit contenir des paires sur le format 'attend envoie' avec le caractre de tabulation en sparateur. Dans ce fichier, les chanes USERNAME et PASSWORD sont remplaces respectivement par le nom d'utilisateur et le mot de passe. Vous pouvez prendre le fichier demonloginscript du rpertoire /etc/ppp en exemple et le modifier pour vos besoins. DNS . Choisissez Automatique si votre FAI supporte la configuration automatique des serveurs DNS, ce qui est frquemment le cas aujourd'hui. Sinon vous devrez slectionner Manuel et indiquer les adresses des serveurs DNS primaire et DNS secondaire dans champs droite. Ces adresses vous ont t communiques par votre FAI. Figure 2.8. Paramtrages PPP

Page Chargement
Vous devez utiliser cette page pour transfrer des pilotes matriels ou firmwares sur votre IPCop. Ces firmwares sont ncessaires au support par IPCop de certains modems. Figure 2.9. Chargement des firmwares des modems

Tlcharger Speedtouch USB pilote matriel . Cet encadr vous permet de transfrer sur votre IPCop le fichier mgmt.o ncessaire aux modems USB Speedtouch. Le modem ne fonctionnera pas tant que cette manipulation n'aura pas t ralise. Les modems Speedtouch Revision 4 ncessitent un fichier particulier (ZZZL_3.012) et les modles antrieurs un fichier diffrent (KQD6_3.012 pour les modles Revision 1 et Revision 2). Utilisez le lien pour vous rendre sur la page web du pilote, rcuprez et enregistrez le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et slectionnez le fichier dans l'arborescence de votre machine. Ceci fait, cliquez le bouton Chargement KQD6_3.012 pour transfrer le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem ADSL USB pour vous connecter l'Internet. Tlcharger ECI ADSL Synch.bin pilote matriel . Cet encadr vous permet de transfrer sur votre IPCop le fichier synch.bin ncessaire aux modems ECI ADSL. Le modem ne fonctionnera pas sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, rcuprez et enregistrez le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et slectionnez le fichier dans l'arborescence de votre machine. Ceci fait, cliquez sur le bouton Transfrer synch.bin pour transfrer le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem ECI ADSL pour vous connecter l'Internet. Tlcharger Fritz!DSL pilote matriel . Cet encadr vous permet de transfrer sur votre IPCop le fichier fcdsl.o ncessaire aux modems Fritz!DSL. Le modem ne fonctionnera pas sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, rcuprez et enregistrez le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et

slectionnez le fichier dans l'arborescence de votre machine. Ceci fait, cliquez sur le bouton Transfrer fcdsl.o pour transfrer le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem Fritz!DSL pour vous connecter l'Internet.

Page Modem
Configuration du Modem . Cet encadr ne vous est utile que si vous utilisez un modem analogique pour vous connecter l'Internet. Les valeurs par dfaut de ces champs conviennent pour la plupart des modems analogiques. Cependant, si vous rencontrez des problmes de connexion, comparez ces valeurs celles indiques dans le manuel utilisateur de votre modem. Aucun de ces champs n'est obligatoire. Initialisation - Ce champ est pr-rempli avec la chane standard d'initialisation des modems compatibles Hayes. S'il s'avre que votre modem exige un paramtrage particulier, modifiez cette chane. Dconnexion - Ce champ contient par dfaut la chane standard des modems compatibles Hayes provoquant la dconnexion. Cependant, si votre modem utilise une autre chane, ditez ce champ. Haut parleur activ - Ce champ contient par dfaut la chane standard des modems compatibles Hayes provoquant l'activation du haut-parleur. Si votre modem utilise une autre chane, ditez ce champ. Haut parleur dsactiv - Ce champ contient par dfaut la chane standard des modems compatibles Hayes dsactivant le haut-parleur. Si votre modem utilise une autre chane, ditez ce champ. Appel par tonalit - Ce champ contient par dfaut la chane standard des modems compatibles Hayes de numrotation par tonalit. Si votre modem et votre ligne tlphonique le permettent mais que vous rencontrez des problmes la connexion, assurez-vous de la compatibilit de cette chane avec votre modem. Appel par impulsion - Ce champ contient par dfaut la chane standard des modems compatibles Hayes de numrotation par impulsion. Typiquement, vous n'avez pas la modifier mais si votre ligne tlphonique ne supporte pas la numrotation par tonalit, assurez-vous de la compatibilit de cette chane avec votre modem. Dure maximale pour l'tablissement de la connexion - Il s'agit du seul champ de cet encadr qui doit tre renseign. Sa valeur, exprime en secondes, indique la dure pendant laquelle IPCop doit maintenir sa tentative de connexion. Une fois ce dlai coul, IPCop abandonne cette tentative avant d'en relancer une nouvelle. La valeur par dfaut convient dans la plupart des cas. Mais si vous remarquez que la connexion est perdue en plein milieu de la phase de ngociation (activez le haut-parleur du modem pour entendre cette ngociation), essayez d'augmenter lgrement cette dure jusqu' ce que la connexion s'tablisse sans problme. Figure 2.10. Paramtrage Modem

Page Configuration alias externes Note


Cette page n'apparat que si votre interface ROUGE est configure en adresse IP fixe. Dans certains cas, votre FAI peut vous fournir une plage d'adresses IP pour votre rseau. Si vous avez plusieurs adresses IP , seulement, alors vous pouvez connecter plusieurs stations de travail Internet, vous n'aurez plus besoin des adresses supplmentaires. IPCop devrait se connecter directement votre modem ou Internet. D'une autre manire, si vous fournissez un serveur sur l'un de vos ordinateurs internes vous avez besoin d'utiliser de multiples alias sur votre interface RED. Pour utiliser fficacement ceci, vous devez modifier en consquence la table de routage d'IPCop la main. Figure 2.11. Paramtrages des alias externes

Ajouter un nouvel alias. partie en cours de rdaction...

Une fois les champs renseigns, cochez la case Activ avant d'appuyer sur le bouton Ajouter. Le nouvel alias est alors pris en compte et se retrouve ajout la liste des alias enregistrs qui est affiche dans l'encadr suivant. Alias actuels . Cet encadr fournit une liste des alias enregistrs. Pour supprimer l'un d'eux, cliquez sur l'icne reprsentant une poubelle associ cet alias. Pour diter, utilisez plutt l'icne reprsentant un crayon . Pour activer un alias, cochez la case de l'entre correspondante dans cette liste. L'alias est dsactiv lorsque la case est vide.

Pages de l'onglet Services


En plus de fournir les services de base d'un pare-feu, IPCop propose un certain nombre d'autres fonctionnalits souvent utiles un petit rseau. Elles sont facilement administrables depuis les pages accessibles par l'onglet tat, pages dcrites par la suite. IPCop permet ainsi d'ajouter votre rseau : un serveur proxy (serveur mandataire Web) un serveur DHCP la gestion de DNS dynamique la possibilit d'diter les htes (serveur DNS local) un serveur de temps une fonction de lissage du trafic un systme de dtection d'intrusion (IDS). Pour un rseau plus important, ces services seront probablement fournis par une infrastructure ddie. Par consquent il vous faudra dsactiver les services quivalents proposs par IPCop.

Page Serveur mandataire (proxy)


Un proxy ou serveur mandataire Web est un programme qui effectue les requtes de pages Web la place des machines de votre Intranet. Il sauvegarde les pages rcupres, de sorte que si plusieurs machines demandent la mme page, un seul accs Internet est ncessaire. Si votre organisation utilise frquemment les mmes sites, il vous permet d'conomiser les accs Internet. Normalement, vous devez configurer les navigateurs Web des machines de votre rseau pour accder l'Internet via le proxy. En lieu et place du couple nom/adresse du proxy, vous devez mettre celui de votre IPCop. Vous devez aussi reporter dans la configuration de vos machines clientes le numro de port indiqu dans le champ Port serveur mandataire de cet encadr. Ce faisant, il reste possible de passer outre le proxy. Mais vous pouvez aussi faire le fonctionner en mode transparent : aucune configuration au niveau des navigateurs n'est ncessaire et le pare-feu redirige automatiquement tout le trafic du port 80 - le port HTTP standard - vers le proxy.

Vous pouvez activer ce service pour le rseau VERT (rseau local), et/ou pour votre rseau BLEU (Wifi). Cochez simplement la case correspondante. Journaux activs. Si vous avez activ le serveur mandataire, vous pouvez choisir d'enregistrer les accs Web en cochant la case Journaux activs. Les traces de ces accs peuvent alors tre visualises en slectionnant Journaux du serveur mandataire dans l'onglet Journaux. Si vous dcidez d'activer le serveur proxy, les accs Web peuvent tre tracs en cochant la case Journaux activs. Les accs raliss via le proxy sont alors consultables sur la page Journaux du serveur mandataire accessible depuis l'onglet Journaux. Si votre Fournisseur d'Accs Internet (FAI) impose l'utilisation de son serveur proxy, spcifiez son nom et son numro de port dans les champs relatifs au serveur mandataire distant. Pour les cas o une identification est ncessaire, vous pouvez indiquez votre nom d'utilisateur et votre mot de passe respectivement dans les champs Nom d'utilisateur du serveur mandataire distant et Mot de passe du serveur mandataire distant. Votre liste extension_methods. Squid ne reconnat que les mthodes standards de requte HTTP. Les mthodes inconnues sont bloques moins d'tre prsentes dans la liste extension_methods. Vous pouvez indiquer ici pas moins de 20 mthodes supplmentaires. Par exemple, subversion fait usage de mthodes non standards normalement bloques par Squid. Pour permettre subversion de traverser le serveur mandataire transparent d'IPCop, vous devez ajouter REPORT, MKACTIVITY, CHECKOUT et MERGE cette liste extension_methods.

Rejeter le proxying vers les rseaux BLEU/VERT. Check this option to disable proxying to green and blue networks (if blue is available). This closes a possible hole between Green and Blue if they are run in transparent mode. [1] ou indiquer une liste de destinations (IP) interdites d'accs par le proxy. Cette option vous assure une plus grande flexibilit en numrant les rseaux destinations pour lesquels la traverse du proxy doit tre refuse. Vous avez la possibilit d'identifier un voire plusieurs rseaux complets en renseignant une adresse IP et un masque rseau, par exemple : 192.168.3.0/255.255.255.0. Gestion du Cache. Dans cette section, vous slectionnez la quantit d'espace disque alloue au cache des pages Web. Vous avez galement la possibilit d'indiquer les tailles minimale et maximale des objets mettre en cache. La premire est en gnrale gale 0. La seconde est par dfaut fixe 4096ko. Pour des raisons de confidentialit, le proxy ne met pas en cache les pages reues via https ou celles ncessitant une authentification par nom d'utilisateur et mot de passe transmis dans l'URL. Rparer le cache. En cas de ncessit, vous pouvez rparer le cache en cliquant sur le bouton Rparer le cache. Vider le cache. Il est possible tout moment de vider le contenu du cache en utilisant le bouton Vider le cache. Limites de transfert. Le proxy Web peut aussi servir contrler les accs Web de vos utilisateurs. Le seul lment de contrle disponible depuis l'interface d'administration est la taille maximum des donnes reues ou envoyes sur le Web. Vous pouvez utiliser ces valeurs pour empcher vos utilisateurs de tlcharger de gros fichiers et ainsi trop consommer de bande passante. La valeur par dfaut pour ces champs est 0 et signifie qu'il n'y a pas de restriction sur la taille des tranferts. Enregistrer. Pour sauvegarder les changements de configuration, appuyez sur le bouton Enregistrer.

Avertissement
Le cache du proxy peut occuper beaucoup d'espace sur votre disque. La taille minimale de disque indique dans la documentation d'IPCop ne tient pas compte de l'espace allou ce cache. Plus le cache est gros, plus le proxy aura besoin de mmoire pour grer ce cache. Ainsi si vous avez une machine disposant de peu de mmoire, ne dfinissez pas un cache proxy trop important.

Page Serveur DHCP


DHCP (Protocole de configuration dynamique des serveurs) vous permet de contrler la configuration rseau de toutes vos machines depuis votre serveur IPCop. Ds qu'une machine se connecte votre rseau, elle reoit une adresse IP valide et ses configurations DNS et WINS sont tablies automatiquement. Pour cela, il faut que chaque machine soit configure pour interroger un serveur DHCP et obtenir ainsi sa configuration rseau.

Vous pouvez activer ce service pour le rseau VERT (rseau local), et/ou pour votre rseau BLEU (Wifi). Cochez simplement la case correspondante. Pour une explication dtaille sur le DHCP, vous pouvez lire l'article (en anglais) sur Linux Magazine : Network Nirvana - How to make Network Configuration as easy as DHCP . Paramtres du serveur DHCP Les paramtres DHCP suivants peuvent tre configurs depuis la page Web : Activ. Cochez cette case pour activer le serveur DHCP sur cette interface. Adresse IP/Masque rseau. L'adresse IP et le masque rseau de l'interface laquelle cette configuration doit s'appliquer sont rappels ici pour rfrence. Adresse de dpart (optionnelle). Vous pouvez spcifier la plage d'adresses IP que le serveur pourra attribuer aux machines qui en font la demande Le comportement par dfaut est la gestion de l'ensemble des adresses du rseau par le serveur DHCP. Si vous avez des machines sur votre rseau qui n'utilisent pas le DHCP et qui ont des adresses mises la main, vous devez faire en sorte que la plage d'adresses gres par DHCP ne rentre pas en conflit avec ces adresses. Vous devez aussi vous assurer que les adresses associes des baux fixes (voir plus loin) ne sont pas comprises dans cette plage.

Adresse de fin (optionnelle). Ce champ dfinit l'adresse de fin de la plage d'adresses discute prcdemment.

Note
Pour permettre au serveur DHCP d'attribuer des baux d'adresses fixes mais pas de dynamiques, laissez les deux champs Adresse de dpart et Adresse de fin vides. Par contre si vous indiquez une adresse de dpart vous devrez indiquer une adresse de fin et vice versa. Base IP utilise pour cration des bail fixes (optionnelle). La possibilit d'ajouter des baux fixes depuis la liste des baux dynamiques a t introduite avec la version 1.4.12. Vous pouvez indiquer une adresse IP utiliser comme adresse de base pour les nouveaux baux fixes. Dure du bail par dfaut. Ce champ peut garder sa valeur par dfaut sauf si vous avez besoin d'indiquer une autre valeur. Il correspond la dure pendant laquelle une attribution d'adresse IP est valide. Avant que son bail n'arrive terme, une machine en demande le renouvellement en indiquant son adresse actuelle. Si des lments de configuration DHCP ont t modifis depuis l'obtention du dernier bail, ils sont propags la machine cliente. En rgle gnrale, les baux sont renouvells par le serveur. Dure maximale du bail. Vous pouvez laisser la valeur par dfaut, sauf si votre configuration ncessite un rglage particulier. Cette valeur correspond la dure pendant laquelle le serveur DHCP honore les requtes de renouvellement des clients pour leur adresse IP courante. Pass ce dlai, les adresses IP des clients sont changes par le serveur. Si la plage d'adresses IP dynamiques a chang, le serveur fournit une adresse IP dans cette nouvelle plage. Suffixe de nom de domaine (optionnel). Le suffixe ne doit pas commencer par un point. Indiquez dans ce champ le nom du domaine que le serveur DHCP doit transmettre aux clients. Si une recherche d'un nom de machine choue, le client essayera de nouveau en rajoutant ce nom de domaine au nom d'origine. Certains serveurs DHCP de fournisseurs Internet (FAI) ajoutent automatiquement leur nom de domaine par dfaut, de sorte qu'il est possible de taper www comme adresse de page d'accueil dans le navigateur Web. Bien que www ne soit pas un nom pleinement qualifi, votre ordinateur rajoutera le nom de domaine fourni par votre FAI (en fait par son serveur DHCP) en suffixe, crant ainsi un nom pleinement qualifi (FQDN). Si vous voulez que vos utilisateurs continuent utiliser la notation simple www , reportez dans ce champ le suffixe de domaine de votre FAI. Autoriser les clients bootp. Cochez cette case pour permettre aux clients BOOTP d'obtenir un bail sur cette interface rseau. Par dfaut le serveur DHCP d'IPCop ignore les paquets de requte du Bootstrap Protocol (BOOTP). DNS Primaire. Le service DHCP va indiquer aux machines clientes quel est le serveur DNS principal. Comme IPCop inclut un proxy DNS, vous voudrez probablement laisser ce champ sa valeur par dfaut : le serveur primaire DNS du rseau est votre serveur IPCop. Si vous possdez votre propre serveur DNS, vous pouvez indiquer son adresse ici.

DNS Secondaire (optionnel). Vous pouvez aussi founir l'adresse d'un serveur DNS secondaire utilis en cas d'indisponibilit du serveur primaire. Il peut s'agir d'un autre serveur local ou d'un serveur chez votre FAI. NTP primaire (optionnel). Si vous fates de votre IPCop un serveur NTP ou si vous voulez communiquer chaque client l'adresse d'un autre serveur NTP, indiquez son adresse IP dans ce champ. Le serveur DHCP se charge alors de la transmettre toutes les machines clientes. NTP secondaire (optionnel). Si vous avez l'adresse d'un second serveur NTP, indiquez-la ici. Le serveur DHCP se charge alors de la transmettre toutes les machines clientes. WINS primaire (optionnel). Si vous possdez un rseau Windows avec un serveur de nom Windows (serveur WINS) primaire, vous pouvez indiquer son adresse IP dans ce champ. Elle est alors communique par le serveur DHCP tous les clients lors de l'obtention de leur configuration rseau. WINS secondaire (optionnel). Si votre rseau dispose d'un serveur WINS secondaire, vous pouvez indique son adresse IP dans ce champ. Elle est alors communique par le serveur DHCP tous les clients lors de l'obtention de leur configuration rseau. Les changements deviennent effectifs aprs l'appui sur le bouton Enregistrer. Liste des options DHCP Cet encadr vous permet de spcifier des paramtres additionnels distribuer au rseau par le serveur DHCP. Cette fonctionnalit a t ajoute avec la version 1.4.6. Figure 2.12. Options additionnelles DHCP

Les champs de cet encadr permettant l'ajout de paramtres additionnels la configuration de base du serveur DHCP sont : Nom de l'option. Vous indiquez ici le nom de l'option DHCP ici, par exemple : smtpserver ou tcp-keepalive-interval.

Valeur. La valeur assigner l'option dont vous venez d'indiquer le nom. Suivant l'option, il peut s'agir d'une chane de caractres, d'un entier, d'une adresse IP ou d'un drapeau d'activation/dsactivation. Les formats suivants sont disponibles : boolean, integer 8, integer 16, integer 32, signed integer 8, signed integer 16, signed integer 32, unsigned integer 8, unsigned integer 16, unsigned integer 32, ip-address, text, string, array of ip-address. Par ailleurs la version 1.4.12 a introduit les formats supplmentaires suivant : array of integer 8, array of integer 16, array of integer 32, array of signed integer 8, array of signed integer 16, array of signed integer 32, array of unsigned integer 8, array of unsigned integer 16, array of unsigned integer 32. Porte de l'option (optionnel). Par dfaut une option possde une porte globale. Vous pouvez rduire sa porte effective en cochant une ou plusieurs des cases voisines, auquel cas l'option ne s'appliquera qu'aux interfaces dont la case est coche. Activ. En cochant cette case vous autorisez le serveur DHCP prendre en compte l'option. Dans le cas contraire, l'option n'est que sauvegardes dans la configuration d'IPCop sans tre rpercute dans celle du serveur DHCP. Ajouter. Ce bouton permet d'ajouter l'option la configuration du service. Syntaxe. Cliquez sur ce bouton pour afficher une liste des options et des valeurs permises.

Note
Par exemple, pour ajouter l'option ldap-server (code 95) la liste, commencez par ajouter une option DHCP de nom ldap-server et de valeur code 95=string (une espace entre code et 95 , pas d'espace ni avant ni aprs le signe = ). Vous avez ainsi cr une nouvelle option avec pour Nom de l'option ldap-server, pour Valeur code 95=string et pour Porte de l'option Dfinition d'option. Vous pouvez maintenant ajouter l'option ldap-server , comme vous l'auriez fait avec n'importe laquelle des options DHCP d'origine, avec le nom : ldap-server et la valeur : "ldap://some.server/dc=foo,dc=bar". Baux fixes Si vous possdez des machines que vous souhaitez grer de manire centraliser tout en leur attribuant une adresse IP fixe, vous pouvez indiquer votre serveur DHCP de leur assigner une adresse IP constante. Chaque machine est alors identifie auprs du serveur DHCP par l'adresse MAC de sa carte rseau. Ceci est diffrent d'une gestion manuelle de la configuration rseau de la machine puisque cette dernire continue contacter le serveur DHCP pour obtenir son adresse et tous les paramtres que vous avez renseigns prcdemment. Figure 2.13. Ajout d'un nouveau bail fixe

Ajouter un nouveau bail d'adresse IP fixe. Vous pouvez indiquer les paramtres suivant pour des adresses IP fixes : Activ. Cochez cette case pour autoriser le serveur DHCP concder ce bail la machine correspondante lorsqu'elle en fait la demande. Les paramtres d'une entre inactive sont conservs par IPCop mais le serveur DHCP ne rpond pas aux demandes. Adresse MAC (optionnel). les six octets de l'adresse MAC identifiant la machine configurer. Les octets sont spars par le signe deux point ':'. En l'absence d'adresse MAC, le serveur DHCP essaye d'assigner un bail fixe partir du nom d'hte ou du nom de domaine pleinement qualifi (FQDN) du client. l'inverse si elle est spcifie et si vous indiquez un nom d'hte dans le champ Hostname or FQDN, le serveur DHCP fournit ce nom de d'hte au client.

Avertissement
Le format de l'adresse MAC est xx:xx:xx:xx:xx:xx et non xx-xx-xx-xx-xx-xx comme certaines machines l'indiquent. Un exemple correct : 00:e5:b0:00:02:d2. Il est possible d'assigner plus d'un bail d'adresse IP fixe une mme machine pour autant que les adresses IP soient sur des sous-rseaux diffrents. Les adresses dupliques sont mises en vidence par des lignes en caractres gras dans le tableau. Adresse IP. l'adresse IP donner par le serveur DHCP la machine identifie par l'adresse MAC ci-dessus. Ne pas utiliser une adresse IP de la plage d'adresses dynamiques. Il est possible d'indiquer une adresse IP n'appartenant pas au rseau local. Dans ce cas l'adresse IP concerne est affiche dans la table sur fond orange.

Hostname or FQDN (optionnel). Le client se verra remettre un nom d'hte, ou dans le cas d'un nom de domaine pleinement qualifi (FQDN), un nom d'hte et un nom de domaine si une adresse MAC est aussi fournie. Dans le cas o le champ Adresse MAC est laiss vide, le serveur DHCP essayera d'assigner un bail fixe partir du nom d'hte ou du nom de domaine pleinement qualifi du client en se servant de l'option dhcp-client-identifier. Remarque (optionnel). une ligne de commentaire libre sur la machine bnficiaire de l'adresse. Adresse du routeur IP (optionnel). Pour les baux fixes, le serveur peut fournir au client l'adresse d'un routeur (passerelle) qui n'est pas l'adresse de la machine IPCop. Serveur DNS (optionnel). Le serveur indique au client un serveur DNS diffrent du ou des serveurs DNS configurs dans la section DHCP. Prciser les options bootp/pxe pour ce bail. Certaines machines de votre rseau peuvent servir de clients dits lgers utilisant un fichier de dmarrage rcupr depuis un serveur particulier. next-server (optionnel). l'adresse du serveur contacter. filename (optionnel). le nom du fichier de dmarrage pour cette machine. root-path (optionnel). le chemin complet vers le fichier prcdent sur le serveur si il n'est pas dans le rpertoire par dfaut. Rservations DHCP fixes Les rservation d'IP fixes gres par le serveur DHCP sont listes dans la partie infrieure de cet encadr. Ce mme encadr permet en outre d'diter, d'activer/dsactiver ou bien encore de supprimer chaque rservation. Il est possible de trier cette liste des baux fixes en cliquant sur les en-ttes de colonne Adresse MAC ou Adresse IP. Un second clic sur un mme en-tte inverse le critre de classement. Figure 2.14. Liste des baux fixes

Pour diter une rservation, cliquez sur son icne reprsentant un crayon. Ses paramtres se retrouvent affichs dans l'encadr Modifier un bail existant au dessus et l'entre correspondante dans la liste est surligne en jaune. Utilisez le bouton Mise jour pour enregistrer les ventuelles modifications. En cliquant sur l'icne reprsentant une poubelle, vous supprimez la rservation correspondante. Baux dynamiques en cours Si le serveur DHCP est actif, cette section affiche les dtails des baux dynamiques concds par le serveur qui se trouvent lists dans le fichier /var/state/dhcp/dhcpd.leases. L'adresse IP, l'adresse MAC, le nom de machine (si disponible) et la date d'expiration pour chaque enregistrement sont prsents. Les entres sont classes par adresse IP. Il est possible de trier cette liste des baux dynamiques en cliquant sur l'un des quatre en-ttes de colonne souligns. Un second clic sur un mme en-tte inverse le critre de classement. Au besoin, il est facile d'effectuer un copier/coller d'une adresse MAC de cet encadr vers celui permettant de dfinir un bail d'IP fixe. Figure 2.15. Baux dynamiques en cours

Depuis la version 1.4.12, il est possible d'ajouter des baux fixes directement depuis la liste des baux dynamiques. En relation avec le champ Base IP utilise pour cration des bail fixes, vous pouvez cocher une ou plusieurs des cases de la liste avant de cliquer sur le bouton Crer les rservations pour ajouter rapidement les machines concernes la liste de celles bnficiant d'un bail fixe. Les baux ayant expirs sont rays . Messages d'erreur Une fois le bouton Ajouter cliqu, un message peut apparatre en haut de la page si une erreur a t dtecte lors de l'analyse des paramtres de configuration.

Page DNS Dynamique


Le DNS dynamique (DYNDNS) vous permet de rendre votre serveur accessible par Internet mme si vous ne disposez pas d'une adresse IP fixe. Pour ce faire, vous devez enregistrer un sous-domaine chez l'un des nombreux fournisseurs de service DYNDNS. Ensuite, ds lors qu'IPCop se connecte l'Internet et se voit assigner une adresse IP par le FAI, il en informe le service de DYNDNS. Lorsqu'une machine cliente demande accder votre serveur, la demande de rsolution du nom est prise en charge par le serveur DYNDNS qui renvoie votre dernire adresse IP connue. Le client a dsormais la possibilit de contacter directement votre serveur (sous rserve que votre configuration l'autorise). IPCop peut se charger de la mise jour de vos informations en effectuant automatiquement les mises jour ncessaires auprs de diffrents services de DYNDNS. Figure 2.16. Paramtres du DNS dynamique

Ajouter un hte Les lements suivants sont demands lors de l'ajout d'un hte : Service. Slectionnez dans la liste droulante le nom du fournisseur de service DNS dynamique. Vous devez dj possder un compte chez ce fournisseur. Derrire un serveur mandataire (proxy). Cette case doit tre coche si vous utilisez le service no-ip.com et si votre IPCop se trouve derrire un serveur mandataire. Pour tous les autres services, l'tat de cette case est ignor. Activer les jokers. En activant les jokers, vous faites pointer tous vos sous-domaines vers la mme adresse IP que votre nom d'hte (par exemple, en cochant la case, www.ipcop.dyndns.org pointera vers la mme adresse IP que ipcop.dyndns.org). L'tat de cette case n'est pas pris en compte par le service no-ip.com dans la mesure o celui-ci ne permet cette activation que depuis son site web. Nom d'hte. Indiquez dans ce champ le nom d'hte enregistr auprs du fournisseur de DYNDNS. Domaine. Indiquez dans ce champ le nom de domaine enregistr auprs du fournisseur de DYNDNS.

Nom d'utilisateur. Indiquez dans ce champ le nom d'utilisateur pour l'identification auprs du fournisseur de DYNDNS. Mot de passe. Indiquez le mot de passe correspondant au nom d'utilisateur prcdent. Activ. IPCop n'enverra pas automatiquement les informations au serveur DYNDNS si cette case n'est pas coche. Le contenu des champs prcdents sera conserv pour vous permettre de ractiver la mise jour automatique de DYNDNS sans avoir remplir de nouveau ce formulaire. Htes actuels Cet encadr donne une liste des entres de DNS dynamique dj connues.

Pour diter l'une d'elle, cliquez sur l'icne reprsentant un crayon en bout de ligne. Les dtails de l'entre concerne se retrouvent affichs dans le formulaire prcdent. Effectuez alors vos modifications et cliquez sur le bouton Ajouter en fin de formulaire. Il est possible d'activer ou de dsactiver, depuis la liste, sans avoir les diter, les options Derrire un serveur mandataire (proxy), Activer les jokers et Activer de chaque entre. Forcer la mise jour Vous pouvez demander forcer le rafrachissement des informations en pressant le bouton Forcer la mise jour. Pour autant, il est recommand de ne mettre jour les informations que lors de changements d'adresse IP : les fournisseurs de service de DNS dynamique apprcient trs moyennement les mises jour inutiles. Ds lors qu'une entre a t active, chaque changement d'adresse IP de votre IPCop, une demande de mise jour est automatiquement lance.

cran Htes statiques


Le serveur mandataire DNS d'IPCop met en cache les informations DNS en provenance de l'Internet. En plus de cela, il vous laisse spcifier des htes dont vous souhaitez grer vousmme les paramtres. Il peut s'agir de machines locales ou bien de machines distantes pour lesquelles vous voulez fixer la rsolution des adresses. Figure 2.17. cran d'ajout d'un nom d'hte

Configuration Les lments suivants peuvent tre renseigns par l'interface web : Adresse IP de la machine. Indiquez dans ce champ l'adresse IP. Nom d'hte. Utilisez ce champ pour spcifier le nom d'hte de la machine. Nom de domaine (optionnel). Si la machine en question se trouve dans un autre domaine, remplissez ce champ avec le nom de domaine. Activ. Cochez cette case pour activer l'entre. L'entre est sauvegarde lorsque vous pressez le bouton Ajouter. Htes actuels Cet encadr prsente une liste des entres DNS locales connues d'IPCop. Il est possible de trier cette liste en cliquant sur l'un des trois en-ttes de colonne souligns. Un second clic sur un mme en-tte inverse le critre de classement. Figure 2.18. Liste des htes configurs

Pour activer ou dsactiver une entre, cliquez sur l'icne reprsentant une case cocher dans la colonne Action de celle-ci. L'icne change en une case vide lorsque l'entre est dsactive. Cliquez dessus pour la ractiver.

Pour diter l'une d'elle, cliquez sur l'icne reprsentant un crayon en bout de ligne. Les dtails de l'entre en question se retrouvent affichs dans le formulaire prcdent. Effectuez alors vos modifications et cliquez sur le bouton Mise jour du formulaire. Pour supprimer une entre, cliquez sur l'icne reprsentant une poubelle en bout de ligne.

Page Serveur de temps


Vous pouvez faire en sorte que votre IPCop rcupre automatiquement l'heure et la date depuis un serveur de temps prcis accessible par l'Internet. Votre IPCop peut galement servir de rfrence de temps pour les machines de votre rseau. Figure 2.19. Paramtrage du serveur de temps

Pour configurer ce service, assurez-vous que la case Activ est coche et indiquez le nom complet du serveur de temps utiliser dans le champ NTP primaire. Vous avez aussi la possibilit de spcifier un serveur NTP alternatif en remplissant de la mme faon le champ NTP secondaire. Pour des raisons d'efficacit, nous vous recommandons de synchroniser votre IPCop avec les serveurs de temps ventuellement mis disposition par votre fournisseur d'accs. Si ce dernier n'en propose pas, voyez le projet www.pool.ntp.org dont l'objet est justement de permettre des millions de clients, grce un cluster virtuel de serveurs, d'accder un service NTP simple et fiable sans charger les gros serveurs de temps populaires . Pour un horodatage prcis, pensez indiquer votre pays dans l'adresse du serveur (par exemple 0.us.pool.ntp.org) au lieu d'utiliser la zone globale (0.pool.ntp.org) comme expliqu sur leur site. En janvier 2008, un pool spcifique au projet IPCop a t cr. Il est donc dsormais prfrable d'utiliser les adresses 0.ipcop.pool.ntp.org, 1.ipcop.pool.ntp.org ou encore 2.ipcop.pool.ntp.org en lieu et place des adresses prcdentes.

Pour faire d'IPCop une rfrence de temps pour les autres machines de vos rseaux, cochez la case Fournir l'heure au rseau local. Vous pouvez choisir de mettre jour rgulirement l'heure de votre machine IPCop, chaque heure par exemple. Cette page vous permet aussi de le faire la demande en cliquant simplement sur le bouton Mise jour. Pour sauvegarder vos choix, utilisez le bouton Enregistrer.

Note
Le service de serveur de temps d'IPCop fait usage de la commande ntpdate pour une mise jour priodique de l'heure plutt que du serveur ntpd qui, lui, corrige l'heure de la machine en continu. De ce fait, il n'est pas obligatoire de laisser connecter votre IPCop en permanence l'Internet, en risquant toutefois qu'il puisse se dsynchroniser et driver lgrement.

Compenser une drive systmatique de l'horloge de la machine IPCop


S'il s'avre que l'heure de votre machine IPCop est avance ou recule d'une dure significative lors des resynchronisations avec un autre serveur NTP, vous pouvez spcifier un facteur de correction dans le fichier /etc/ntp/drift pour compenser cette drive. La sortie de la commande ntpdate vous permet de dterminer cette valeur. Depuis la page Journaux systme, dans la section NTP, recherchez une ligne du genre :
10:40:00 ntpdate step time server 192.168.1.1 offset 3.371245 sec

En divisant l'cart de temps par le temps coul depuis la dernire mise jour et en multipliant par un million, vous obtenez la valeur (en parties par millions) placer dans le fichier /etc/ntp/drift. En reprenant les donnes du message d'exemple ci-dessus, cela donne :
(3.37 86400 1000000) = 39.004

o 3,37 est l'cart quotidien et 86400 le nombre de secondes dans un jour. Changez la valeur dans le fichier de drive avec la commande suivante (excute en tant que root) :
$ echo 39.004 > /etc/ntp/drift

Figure 2.20. Mise jour manuelle de l'heure

Si vous ne souhaitez pas utiliser un serveur de temps comme rfrence, vous pouvez entrer l'heure et la date courantes dans les champs de l'encadr reprsent ci-dessus avant de cliquer sur le bouton Mise jour immdiate.

Avertissement
Si vous avancez sensiblement l'heure de la machine, le serveur fcron en charge de l'excution des tches cron normales peut sembler arrt alors qu'il attend de rattraper le temps. Si tel est le cas, essayez la commande fcrontab -z depuis un terminal pour rinitialiser le serveur fcron.

Page Lissage du trafic (shaping)


Le lissage de trafic vous permet d'assigner des priorits aux flux IP traversant votre pare-feu. IPCop fait appel pour cela WonderShaper. Ce logiciel a t conu pour minimiser la latence au ping et garantir que les services interactifs tels que SSH restent fluides mme sous forte charge, par exemple pendant un gros tlchargement. Figure 2.21. Configuration du lissage de trafic

Nombreux sont les fournisseurs d'accs caractriser leurs offres par vitesses de transfert plutt que par latences. Pour maximiser ces vitesses de transfert, ils configurent leurs quipements pour grouper vos flux dans des queues. Lorsque des flux interactifs sont introduits dans ces grandes queues, leurs latences augmentent considrablement puisque les paquets ACK doivent patienter un certain temps avant de vous arriver. IPCop sait grer ce phnomne et vous laisse assigner des priorits vos flux. Pour cela, ils doivent tre groups en trois catgories de priorits diffrentes : Haute, Moyenne et Basse. Le trafic ping est toujours attach au groupe de plus haute priorit pour vous permettre de connatre la vitesse de votre connexion lors de gros tlchargement. Pour mettre en place le lissage de trafic par IPCop : 1. servez-vous de quelques sites rapides bien connus pour estimer vos vitesses de transfert montant et de transfert descendant. Remplissez les champs correspondant dans l'encrad Configuration ; 2. activez le lissage de trafic en cochant la case Activ ; 3. identifiez quels services sont utiliss derrire votre pare-feu ; 4. classez ces services en trois groupes de priorits croissantes. Par exemple : a. le trafic interactif, tel que les sessions SSH (port 22) et les services de voix sur IP (VOIP) ont leur place dans le groupe priorit leve. b. la navigation classique sur le web (port 80) et les flux de communication (streaming audio et vido) se placent dans le groupe priorit moyenne. c. les trafics de masse, genre changes de fichiers par P2P, se placent dans le groupe ayant une priorit basse. 5. crez la liste de services et de priorits depuis l'encadr Ajout du service de cette page. Les services pris en exemple ci-dessus ne servent qu' montrer le potentiel d'IPCop pour ce qui est du lissage du trafic. Vous serez trs vraisemblablement amen adapter le contenu des groupes puisque la nature des flux dpend de votre utilisation.

Page Dtection d'intrusion


IPCop intgre un puissant systme de dtection d'intrusion nomm Snort. Il analyse le contenu des paquets reus par le pare-feu et recherche les signes d'activits malveillantes. Snort est un systme passif de sondes que l'utilisateur doit grer. Vous devez surveiller les fichiers de journaux et interprter les informations qu'ils prsentent. Snort se borne consigner les vnements suspects de sorte que si vous recherchez un systme actif, vous devrez vous tourner vers snort_inline ou le addon guardian. Il est galement important de prendre en compte l'empreinte mmoire non ngligeable de Snort : les versions rcentes ncessitent prs de 80 Mo de mmoire par interface. Cette quantit de mmoire dpend en partie du jeu de rgles mis en oeuvre et peut tre rduite par slection des rgles utilises. Figure 2.22. Configuration de la dtection d'intrusion

IPCop peut se charger de contrler les paquets rseau sur les interfaces VERTE, BLEUE, ORANGE et RED. Pour ce faire, cochez les cases correspondantes avant de cliquer sur le bouton Enregistrer. Mise jour des rgles Snort L'installation standard d'IPCop fournit un ensemble basique de rgles permettant Snort d'identifier des activits suspectes. mesure que de nouvelles attaques apparassent, ces rgles sont mises jour. Pour utiliser les rgles Sourcefire VRT Certified , vous devez vous enregistrer sur le site web de Snort et ainsi obtenir un Oink Code . Avant votre premire tentative de rcupration de rgles, entrez votre Oink Code et cliquez sur le bouton Enregistrer. Cliquez ensuite sur le bouton Actualiser la liste des mises jour, puis sur le bouton Tlcharger de nouvelles rgles et enfin sur le bouton Appliquer maintenant. L'heure et la date sont affiches ct de chaque bouton si l'opration a russie. Le dernier bouton Lire le dernier historique d'installation des rgles permet de visionner le dernier journal d'installation des rgles.

[1]

Quel est l'effet de cette option ? Comment s'explique ce possible hole ? Il serait intressant qu'une personne matrisant la configuration du serveur mandataire avec IPCop se

penche sur la traduction de ce paragraphe en particulier mais aussi plus largement de toute la section. Merci de faire part de vos propositions/remarques.

Pages de l'onglet Pare-feu


Les pages regroupes sous l'onglet Pare-feu donnent accs aux fonctions principales de votre IPCop. Elle permettent en effet de contrler les flux traversant votre pare-feu. Il s'agit des pages : de transferts de ports ; d'accs externes pour la configuration d'accs de maintenance de votre IPCop depuis l'extrieur ; des accs la DMZ ; des accs au rseau BLEU permettant de connecter un point d'accs sans-fil IPCop. des options du pare-feu.

Quels sont les flux autoriss entre les diffrentes interfaces rseau d'IPCop ?
La figure suivante rsume le paramtrage par dfaut d'IPCop pour ce qui est des flux rseau. Elle prcise galement les systmes permettant d'ouvrir ou de contrler ces flux. Figure 2.23. Flux IP

Personnalisation par l'utilisateur


Avec la version 1.4 est apparu un fichier destin aux utilisateurs voulant modifier par euxmmes les rgles du pare-feu. Il s'agit du fichier /etc/rc.d/rc.firewall.local. Ce fichier est appel par un autre fichier, /etc/rc.d/rc.firewall, lors du dmarrage d'IPCop. Il est par ailleurs possible de le lancer manuellement avec la ligne de commande suivante :
$ /etc/rc.d/rc.firewall.local {start|stop|reload}

Note
L'option reload a t ajoute avec la version 1.4.2 puis modifie avec la version 1.4.6. Ces changements n'ont cependant pas t inclus dans les mises jour officielles correspondantes, ceci pour ne pas effacer les ventuelles modifications apportes par l'utilisateur. Depuis la version 1.3, plusieurs chanes - au sens IPTables - sont la disposition de l'utilisateur pour l'adaptation du pare-feu des besoins particuliers : CUSTOMINPUT, CUSTOMOUTPUT et CUSTOMFORWARD. Enfin le fichier /etc/rc.d/rc.local, introduit galement avec la version 1.3, permet l'utilisateur de lancer ses propres commandes au dmarrage de la machine. Il peut par exemple s'agir de la configuration d'un modem interne. Aucun de ces fichiers n'est modifi lors des mises jour officielles. Ils font par ailleurs partie des fichiers inclus dans les sauvegardes de configuration.

Page Transferts de ports


Cette page vous permet de configurer des transferts de ports sur votre IPCop. Cette opration est totalement facultative, ne tenez pas compte de cette section que si vous avez besoin d'un tel dispositif. Aperu du transfert de port Un pare-feu a pour fonction de stopper les connexions inities depuis l'extrieur du rseau qu'il protge. Nanmoins, il arrive que cette fonction soit trop stricte. C'est le cas par exemple si vous possdez un serveur Web : toutes les requtes ce serveur manant de l'extrieur se verraient refuses. Seules les requtes provenant de vos propres machines (internes) seraient honores. Ce qui signifie que seuls les utilisateurs du rseau interne pourraient consulter le serveur ce qui n'est videmment pas le comportement espr. En effet, vous voulez la plupart du temps que les personnes extrieures aient elles aussi la possibilit de consulter votre site. C'est l que le transfert de port intervient. Le transfert de port est le service qui autorise un accs limit au rseau local depuis l'extrieur. Lorsque vous mettez en place un serveur, vous pouvez choisir sur quels ports le

mettre en coute . La procdure dpend du logiciel. Reportez-vous la documentation l'accompagnant pour connatre cette procdure. Ds lors que cette configuration des ports est faite, vous tes prt paramtrer votre IPCop. Sur la page des transferts de ports, le menu droulant TCP/UDP vous permet de choisir sur quel protocole la rgle doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pas indiqu dans la documentation du serveur, il est fort probable qu'il s'agisse de TCP. Certains serveurs de jeux ou de discussion utilisent cependant l'UDP. Le champ Port source est utilis pour spcifier le port auquel les personnes extrieures se connecteront. Le plus souvent, ce champ prend pour valeur le numro du port standard du service (80 pour les serveurs Web, 20 pour les serveurs ftp, 25 pour des serveurs de courrier, etc.....). Il est possible d'indiquer une plage de ports transfrer plutt qu'un seul. Pour ce faire, servez-vous du caractre : entre deux numros de port, en commenant par le plus petit numro. Le champ Adresse IP de destination reprsente l'adresse IP interne de votre serveur (votre serveur Web peut par exemple avoir l'adresse 192.168.0.3). Le champ Port destination doit tre renseign avec le numro de port sur lequel le serveur est en coute sur la machine interne. Il s'agit du numro de port discut prcdemment lors de la configuration du serveur. Enfin la liste droulante Alias IP permet de slectionner quelle adresse IP ROUGE cette rgle doit s'appliquer. IPCop peut en effet grer plus d'une adresse IP ROUGE. Si vous n'en avez qu'une, choisissez l'entre DEFAULT IP. Transfert de port et accs externe L'interface de gestion des transferts de ports a t rcrite l'occasion de la version 1.3.0. Elle est sensiblement diffrente de celle des versions antrieures. Notez toutefois que les numros de ports utiliss pour un service particulier n'ont pas chang. La page des accs externes n'a AUCUNE incidence sur les rseaux VERT et ORANGE. Elle permet seulement d'ouvrir l'extrieur des ports de votre machine IPCop mais pas vos rseaux VERT ou ORANGE. Comment ouvre-t-on un accs externe alors ? Cette ouverture est combine au transfert de port. La page de configuration des transferts de ports propose un champ nomm Adresse IP source ou rseau (vide pour "Tout") cet effet. Si ce champ est laiss vide, le transfert de port est ouvert TOUTES les adresses de l'Internet. Autrement, vous pouvez l'utiliser pour spcifier une adresse unique ou une adresse de rseau et n'autoriser ainsi l'accs que depuis une machine ou un rseau particulier. Figure 2.24. Paramtrage des transferts de ports

Vous pouvez avoir plus d'une seule adresse externe - aprs avoir cr votre le transfert de port, celle-ci apparatra dans la liste. Si vous souhaitez ajouter une adresse externe supplmentaire, cliquez sur l'icne reprsentant un crayon rouge et un signe plus de l'entre correspondante. Les dtails de cette entre se retrouvent affichs dans le premier encadr pour vous permettre d'entrer une adresse IP externe ou un rseau. la validation de ces informations vous verrez apparatre une nouvelle entre dans l'encadr listant les transferts de port. Plusieurs autres choses sont noter : le protocole GRE est support ; le caractre * est un joker pour la dfinition des plages de ports. Par exemple : o * cre une plage couvrant tous les ports ; o 85-* cre une plage allant du port 85 au port 65535 ; o *-500 cre une plage allant du port 1 au port 500. Les caractres : et - sont les caractres valides de sparation de ports dans la dfinition d'une plage. Notez que le caractre - sera chang en : mme s'il apparat bien comme - l'cran. Vous n'avez qu' entrer le premier port source, le port destination sera rempli pour vous automatiquement. Un enregistrement peut tre dit en cliquant sur l'icne reprsentant un crayon jaune en bout de ligne. Tant que vous ne cliquez pas sur le bouton Mise jour, aucun changement n'est pris en compte.

Lors de l'dition d'un enregistrement, la ligne correspondante est surligne en jaune. Pour supprimer un enregistrement, cliquez sur l'icne qui lui est associe reprsentant une poubelle . Les plages de ports ne peuvent pas se chevaucher. Un port individuel ne peut pas tre plac en plein milieu d'une plage, par exemple si vous avez dj configur la plage 2000-3000 et que vous essayez de transfrer le port 2500, une erreur sera signale. Vous ne pouvez pas transfrer un mme port vers plusieurs machines. Sur l'adresse principale (DEFAULT IP) certains ports sont rservs IPCop pour son bon fonctionnement. Il s'agit des ports 67, 68, 81, 222, et 445. Lors de l'dition d'un transfert de port, une case cocher nomme Supprimer l'accs externe pour TOUS apparat. Il s'agit d'une manire simple et rapide d'ouvrir un port TOUTES les adresses d'Internet pour tester ou pour toute autre raison. Cette fonctionnalit a t ajoute la demande d'un utilisateur. Si vous avez un transfert de port avec de multiples accs externes, quand vous supprimez ces accs externes, le port devient ouvert TOUTES les adresses, prenez-y garde. Il existe un raccourci permettant d'activer/dsactiver un transfert de port ou un accs externe : cochez/dcochez la case Activ de l'entre concerne. Lorsqu'une rgle est dsactive, la case est dcoche. Cliquez alors dessus pour la ractiver. Remarque : lorsque vous dsactivez un transfert de port, tous les accs externes associs sont dsactivs. De mme lorsque vous activez un transfert de port, tous les accs externes associs sont activs.

Page Accs externes


Cette page vous permet de paramtrer les accs externes pour votre machine IPCop. Cette opration est totalement facultative, ne tenez compte de cette section que si vous envisagez d'utiliser cette fonctionnalit. Figure 2.25. Configuration des accs externes

Depuis la version 1.3.0, l'accs externe ne sert contrler que les seuls accs votre machine IPCop. Il n'a aucun effet sur les accs aux rseaux VERT, BLEU ou ORANGE. Ceci est dsormais gr par le transfert de port dcrit prcdemment. Si vous souhaitez administrer votre IPCop distance, vous devez autoriser l'accs externe au port 445, https en TCP. Vous pouvez galement autoriser l'accs au port 222, ssh en TCP si l'accs SSH est activ. Le menu droulant TCP/UDP vous permet de choisir sur quel protocole la rgle en cours d'dition doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pas indiqu dans la documentation du serveur, alors il s'agit trs probablement de TCP. Le champ Adresse IP source ou rseau est utilis pour spcifier l'adresse de la machine qui l'accs au pare-feu est autoris. Ce champ peut tre laiss vide, l'accs est alors donn n'importe quelle machine. Bien que dangereux cela peut s'avrer utile si vous envisagez d'administrer votre machine de n'importe o dans le monde. Pour autant, si vous arrivez limiter le nombre d'adresses IP depuis lesquelles vous voulez pouvoir administrer votre IPCop, vous pouvez les indiquer dans ce champ. Le champ Port de destination doit tre renseign avec le numro du port externe auquel ces adresses peuvent se connecter, par exemple 445. Le menu droulant Adresse IP de destination permet de slectionner quelle adresse IP du rseau ROUGE cette rgle doit s'appliquer. IPCop peut en effet grer plus d'une adresse IP ROUGE. Si vous n'en avez qu'une, choisissez l'entre DEFAULT IP. Lorsque tous les champs prcdents ont t renseigns, cochez la case Activ avant de cliquer sur le bouton Ajouter. La rgle est alors enregistre et active. L'encadr Rgles actuelles donne une liste de toutes les rgles gres par votre IPCop. Pour supprimer l'une d'elles, cliquez sur l'icne reprsentant une poubelle . Pour en diter une, cliquez sur l'icne reprsentant un crayon jaune .

Pour activer ou dsactiver une rgle, servez-vous de la case cocher coorespondante. Lorsqu'elle est dsactive, la case est dcoche. Vous devez cliquer dessus pour la ractiver.

Page Accs la DMZ


Cette page vous permet de paramtrer les accs au rseau VERT depuis la DMZ. Cette opration est totalement facultative, ne tenez pas compte de cette section si vous n'envisagez pas d'utiliser un tel dispositif. Cette page n'est visible que si vous avez install et configur une interface ORANGE ou BLEUE. Figure 2.26. Paramtrage des accs depuis la DMZ

La DMZ ou zone dmilitarise (rseau ORANGE) est une zone particulire, semi-scurise, point d'change entre la zone externe (rseau ROUGE) et la zone interne (rseau VERT). La premire reprsente l'ensemble de l'Internet. Alors que la seconde regroupe vos machines internes. La DMZ permet ainsi de partager l'accs des serveurs depuis ces deux zones sans pour autant permettre l'accs depuis l'Internet vos machines locales sensibles. Supposez par exemple que votre entreprise possde un serveur Web. videmment, vous souhaitez que vos clients puisseent y accder. Mais supposez qu'en mme temps vous vouliez que ce serveur Web transmette les commandes des clients vos employs dont les machines sont naturellement sur le rseau VERT. Dans une mise en oeuvre classique de pare-feu, cela ne peut fonctionner puisque les requtes d'accs au rseau VERT sont inities depuis l'extrieur de ce rseau. De toute vidence, vous ne souhaitez pas que vos clients aient un accs direct vos machines internes du rseau VERT. Alors comment faire ? Et bien en paramtrant l'accs restreint depuis la DMZ. Cet accs restreint donne aux machines de la DMZ la possibilit de contacter des machines du rseau VERT sous conditions. Dans la mesure o les serveurs de la zone ORANGE se doivent d'avoir des conditions d'accs depuis la zone ROUGE souples, ils sont plus vulnrables aux

attaques externes. En n'autorisant qu'un accs rduit au minimum de ORANGE vers VERT, vous vitez les accs non autoriss vos machines sensibles si la scurit d'un de vos serveurs tait compromise. Le menu droulant TCP/UDP vous permet de choisir sur quel protocole la rgle en cours d'dition doit s'appliquer. La plupart des serveurs utilise le protocole TCP. Quelques serveurs de jeu et serveurs de discussion utilisent l'UDP. Si le protocole n'est pas indiqu dans la documentation du serveur, alors il s'agit trs probablement de TCP. Utilisez le mme protocole que celui spcifi sur la page de transferts de ports. Le menu droulant Rseau d'origine donne une liste des rseaux sources disponibles sur la machine. Le champ Adresse IP source doit tre renseign avec l'adresse IP de la machine qui vous permettez l'accs aux machines internes. Le menu droulant Rseau de destination donne une liste des rseaux destinations disponibles sur la machine. Le champ Adresse IP de destination doit quant lui contenir la machine recevant la requte. Cette machine se trouve sur l'un des rseaux internes de confiance, c'est dire VERT ou BLEU. L'entre Port de destination spcifie le port sur lequel la machine prcdente est l'coute. Ds lors que toutes les informations ont t saisies, cochez la case Activ avant de cliquer sur le bouton Ajouter. La rgle est alors enregistre et active. Elle apparat dans le second encadr de cette page. L'encadr Rgles actuelles donne une liste de toutes les rgles gres par votre IPCop. Pour supprimer l'une d'elles, cliquez sur l'icne reprsentant une poubelle . Pour en diter une, cliquez sur l'icne reprsentant un crayon jaune . Pour activer ou dsactiver une rgle, servez-vous de la case cocher correspondante. Lorsqu'elle est dsactive, la case est dcoche. Vous devez cliquez dessus pour la ractiver.

Page Accs BLEU


Cette page vous permet de paramtrer quel point d'accs WiFi du rseau BLEU est autoris se connecter votre IPCop. Cette opration est totalement facultative, ne tenez compte de cette section que si vous envisagez d'utiliser un tel dispositif.

Note
Cette page n'est visible que si vous avez install et configur l'interface du rseau BLEU. Pour mettre en place un rseau BLEU : 1. utilisez une carte Ethernet reconnue pour l'interface BLEUE ;

2. connectez le point d'accs la carte Ethernet (si plusieurs connecteurs sont prsents sur le point d'accs, utilisez le connecteur RJ45 portant la mention LAN) ; 3. DHCP peut servir l'adressage dynamique ou statique du rseau BLEU. L'adressage statique reste cependant recommand pour des raisons de scurit des adresses MAC. Reportez-vous la description de la page de configuration du serveur DHCP pour plus d'informations sur la concession de baux statiques par le serveur. Si vous ne devez permettre que l'accs Internet (rseau ROUGE) par http aux machines de votre rseau BLEU, indiquez, sur la page reproduite ci-dessous, soit l'adresse IP ou MAC du routeur sans fil, soit les adresses de vos priphriques sans fil si vous vous servez d'un point d'accs. Vous devez indiquer au minimum une adresse MAC ou une adresse IP, ventuellement les deux, pour chaque priphrique. Un point d'accs se comporte comme un rpartiteur Ethernet et IPCop prend en charge le service DHCP pour les priphriques utilisant ce point d'accs. l'inverse un routeur sans fil se charge seul de la translation d'adresses (NAT) et de la configuration rseau des clients (DHCP). Il propose en outre ses propres lments de contrle.

Note
Votre point d'accs doit supporter la transparence DHCP (DHCP passthrough) si vous esprez faire d'IPCop le serveur DHCP des machines de votre rseau sans fil. Toutes les rfrences n'offrent pas cette fonctionnalit en mode point d'accs (par exemple Netgear WG614). Depuis une machine connecte au rseau BLEU, vous pourrez accder l'interface Web d'administration d'IPCop mais pas aux machines du rseau VERT sans quelques manipulations supplmentaires. Pour autoriser l'accs au rseau VERT depuis le rseau BLEU, vous devez : 1. soit utiliser la page Configuration des accs la DMZ et mettre en place des rgles d'accs particulires ; 2. soit configurer un VPN pour l'accs de vos postes nomades sur l'interface BLEU. Figure 2.27. Paramtrage de l'accs BLEU

Dans l'encadr Ajoute un Client Rseau, vous indiquez l'adresse IP ou l'adresse MAC d'un point d'accs sans-fil ou de n'importe quel priphrique du rseau BLEU que vous voulez relier Internet par l'intermdiaire de votre IPCop. Vous devez renseigner au minimum une adresse MAC ou une adresse IP par priphrique. Si le service DHCP est activ sur le rseau BLEU et si vous dsirez autoriser tout priphrique se connecter et profiter du le rseau RED, vous devez ajouter une entre cette liste pour chaque adresse IP de la plage d'adresses gres par DHCP. Laissez le champ d'adresse MAC de chaque entre vide. Inversement, si vous souhaitez limiter l'accs aux seuls priphriques connus, ajoutez les adresses MAC de ces priphriques et laissez le champ d'adresse IP vide. Ce faisant vous autorisez les connexions des seuls priphriques dont l'adresse MAC est liste ici, indpendamment des baux DHCP qu'ils reoivent. Ceci fait, cochez la case Activ et cliquez sur le bouton Ajouter. Les donnes saisies se retrouvent alors affiches dans l'encadr suivant et l'entre est marque active. L'encadr Clients Rseaux sur BLEU propose en effet une liste des priphriques reconnus sur le rseau BLEU. Pour supprimer l'un d'eux, cliquez sur l'icne reprsentant une poubelle . Pour le reparamtrer, cliquez sur l'icne reprsentant un crayon jaune .

Pour activer ou dsactiver une entre, servez-vous de la case cocher correspondante. Lorsque l'entre est dsactive, la case est dcoche. Vous devez cliquez dessus pour la ractiver. Si le service DHCP est activ pour le rseau BLEU, cette page propose un encadr supplmentaire : Bails DHCP sur BLEU. Il vous fournit un moyen rapide d'ajouter des priphriques sans fils la liste des priphriques autoriss. Pour cela, cliquez sur l'icne reprsentant un crayon bleu du priphrique en question. Vous pouvez alors diter l'entre si ncessaire en cliquant sur l'icne reprsentant un crayon jaune comme prcdemment.

Page Options du firewall


Cette page vous permet de configurer plus finement certains comportements du pare-feu. Vous pouvez sans aucun risque ignorer cette section si vous ne souhaitez pas utiliser cette fonctionnalit. Figure 2.28. Options du pare-feu

Dsactive le ping Non - votre IPCop rpond aux requtes ping arrivant sur n'importe laquelle de ses interfaces. Il s'agit du comportement par dfaut. Seulement ROUGE - votre IPCop ne rpond pas aux requtes ping arrivant sur l'interface ROUGE. Toutes les interfaces - votre IPCop ne rpond aucune requte ping qu'il reoit. Pour sauvegarder ces modifications, pressez le bouton Enregistrer.

Pages de l'onglet RPVs


Virtual Private Networks (VPNs) ou Rseau Priv Virtuel (RPV)

IPCop peut facilement tablir des VPNs avec d'autres serveurs IPCop. Mais il lui est aussi possible d'interagir avec n'importe quel autre produit VPN supportant IPSec et un chiffrement standard tel que 3DES. Section en cours de rdaction...

Encadr Paramtres gnraux


Figure 2.29. Paramtres gnraux du VPN

Section en cours de rdaction...

Encadr Contrle et statut de la connexion


Figure 2.30. Encadr de contrle et de statut : vue initiale

Section en cours de rdaction... Type de Connexion Figure 2.31. Slection du type de connexion VPN

Section en cours de rdaction...

Connexion Serveur-vers-Rseau Figure 2.32. Saisie d'une connexion VPN Serveur--Rseau

Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cette connexion. Section en cours de rdaction... Connexion de Rseau--Rseau Figure 2.33. Paramtres d'une connexion VPN Rseau--Rseau

Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cette connexion. Ct IPCop. Section en cours de rdaction... Section en cours de rdaction... Authentification

Figure 2.34. Paramtres pour l'authentification

Section en cours de rdaction...

Encadr Autorits de certification


Figure 2.35. Autorits de certification : vue initiale

Section en cours de rdaction...

Pages de l'onglet Journaux


Introduction
Ce menu permet d'accder cinq ou six pages suivant votre configuration. Ces pages Configuration des journaux, Rsum des journaux, Journaux du serveur mandataire, Journaux du pare-feu, Journaux IDS si ce dernier est actif et Journaux Systme - partagent un ensemble de fonctionnalits pour la slection, l'affichage et l'exportation des vnements enregistrs par la machine IPCop. Les listes droulantes Mois et Jour de l'encadr Configuration vous permettent d'accder aux traces des jours et mois prcdents. chaque nouvelle combinaison de ces champs, il est ncessaire de cliquer sur le bouton Mise jour pour rafrachir l'affichage. Lors du premier affichage d'une page, les informations prsentes correspondent au relev de la journe en cours. Le bouton << vous permet de revenir en arrire d'une journe alors que le bouton >> vous permet d'avancer au relev du jour suivant. Les traces sont affiches sous la forme d'une liste dans l'encadr nomm Journaux. Si cette liste est trop longue pour tre affiche correctement dans une fentre de navigateur, seuls les enregistrements les plus rcents sont prsents. Dans ce cas, les liens Plus ancien et Plus rcent en haut et en bas de page sont actifs et permettent de naviguer dans la liste complte. Le bouton Exporter permet de rcuprer sur votre machine cliente un fichier au format texte (log.dat) contenant les donnes de la page affiche. Suivant la configuration de votre ordinateur, l'appui sur ce bouton entrane l'ouverture d'une fentre de tlchargement, l'affichage du contenu du fichier directement dans le navigateur ou bien encore l'ouverture d'un diteur de texte. Dans ce dernier cas, vous avez toute libert pour sauvegarder le fichier log.dat en format texte.

Page Configuration des journaux


Section en cours de rdaction... Figure 2.36. Configuration des journaux

Page Rsum des journaux


Section en cours de rdaction... Figure 2.37. Affichage du rsum des traces

Page Journaux du serveur mandataire


Cette page vous permet de consulter les fichiers stocks dans le cache du serveur web mandataire d'IPCop. Par dfaut, ce serveur est inactif et doit donc tre explicitement activ depuis la page d'administration spcifique (Services > Serveur mandataire (proxy)).

Note
Cette page n'apparat que si la case Journaux activs a t coche sur la page de configuration du serveur mandataire. cause du volume potentiellement important d'information traiter, cette page peut demander quelques instants s'afficher la premire fois et chaque mise jour. Plusieurs lments de contrle vous sont proposs en plus des listes droulantes Mois:, Jour: et des boutons << (jour prcdent), >> (jour suivant), Mise jour, Exporter prcdemment dcrits :

la liste droulante Source IP: vous permet de choisir l'activit du mandataire Web relative une adresse IP particulire ou toutes les machines de votre rseau grce au choix TOUT. l'entre Filtre: peut tre utilise pour ne pas afficher les traces relatives aux fichiers dont l'extension est reconnue par cette expression rationnelle. Sa valeur par dfaut permet d'ignorer les traces relatives aux images (fichiers d'extensions .gif, .jpeg, .jpg & .png), aux feuilles de style (.css) et aux fichiers JavaScript (.js). la case cocher Activation du filtre: commande l'utilisation ou non du filtre prcdent. le bouton Restaurer les paramtres par dfaut rinitialise l'tat des contrles (tel que le filtre). Pour cette page, les donnes affiches dans la section Journaux sont les suivantes : l'Heure laquelle le fichier a t demand et mis en cache ; l'Adresse IP de la machine locale du demandeur ; le Site web - ou plus prcisment l'URL - de chaque fichier demand et mis en cache.

Note
Les URL de la colonne Sites web sont affiches sous forme d'hyperliens pointant vers les pages web ou les fichiers concerns. Figure 2.38. Affichage des traces du serveur mandataire

Page Journaux du pare-feu


Cette page donne un compte rendu des paquets de donnes bloqus par la fonction pare-feu d'IPCop.

Note
Tous les paquets bloqus ne sont pas forcment des tentatives hostiles d'accs votre rseau par des pirates. Il est ainsi frquent de bloquer certains paquets pour des raisons tout fait anodines. C'est le cas par exemple des tentatives de connexion au port "ident/auth" (113), qui sont bloques par dfaut sur IPCop. Cette page propose les lments de contrle dtaills prcdemment : listes droulantes Mois et Jour, boutons << (Jour prcdent), >> (Jour suivant), Mise jour et Exporter. L'encadr Journaux: de cette page contient une ligne pour chaque paquet cart par le parefeu. Lui sont associs l'heure de rcption du paquet, les adresses IP source et destination ainsi que le protocole et le port concerns. Chaque entre permet en plus d'identifier la chane - au sens IPTable - ayant conduit au rejet et l'interface rseau d'IPCop implique. Vous pouvez obtenir des informations sur les adresses IP en cliquant dessus. IPCop effectue alors une recherche DNS inverse et affiche les informations disponibles concernant l'enregistrement et le propritaire de l'adresse en question. Figure 2.39. Affichage des traces du pare-feu

Page Journaux IDS


Cette page affiche les incidents dtects par l'IDS (ou Systme de Dtection d'Intrusion) d'IPCop. Par dfaut, l'IDS est inactif et doit donc tre explicitement activ depuis la page d'administration spcifique (Services > Dtection Intrusion). Cette page propose les lments de contrle dtaills prcdemment : listes droulantes Mois et Jour, boutons << (Jour Prcdent), >> (Jour Suivant), Mise jour et Exporter. Ils vous

permettent d'examiner les traces de l'IDS pour un jour particulier. Pour chaque incident, vous retrouvez les informations suivantes : Date: - la date et l'heure de l'incident. Nom: - une description rapide de l'incident. Priorit: (si disponible) - la criticit de l'incident : 1 ("srieux"), 2 ("pas si srieux"), et 3 ("ventuellement srieux"). Type: (si disponible) - une description gnrale de l'incident. Informations sur l'adresse IP: - l'identit IP (adresse & port) de la source et de la cible impliques dans l'incident. Chaque adresse IP est un hyperlien que vous pouvez utiliser pour lancer une recherche DNS inverse donnant accs aux dtails de proprit de l'adresse. Rfrences: - d'ventuelles adresses web pour des informations complmentaires sur l'incident. SID: (si disponible) - l'identifiant Snort. "Snort" est le module logiciel utilis par IPCop pour la fonctionnalit d'IDS, et le SID est un code interne Snort pour identifier un type spcifique d'attaque. Ce champ est un hyperlien vers la page Web adquate dans la base de donnes des signatures d'intrusions connues de Snort. Figure 2.40. Affichage des traces de l'IDS

Page Journaux systme


Cette page affiche les traces propres au systme ainsi que d'autres traces diverses. Consultez le dbut de cette section pour l'utilisation des contrles habituels : Mois, Jour, << (Jour prcdent), >> (Jour suivant) et Mise jour. La liste droulante Section permet l'accs douze catgories de traces :

IPCop (dfaut) - les vnements IPCop comme les sauvegardes de profils PPP et les traces de connexion ("PPP has gone up on ppp0 ") et de dconnexion ("PPP has gone down on ppp0 ") d'un modem. RED - le trafic envoy par l'interface qui fournit l'interface PPP pour IPCop. Ceci inclut les donnes envoyes et reues de modems et autres interfaces rseaux. Dans le cas de problmes de connexion, ces traces sont souvent d'un grand secours. DNS - les traces de l'activit de dnsmasq, l'utilitaire pour la rsolution de nom DNS. Serveur DHCP - les informations sur l'activit du serveur DHCP fourni par IPCop. SSH - la liste des utilisateurs qui se sont connects et dconnects du serveur IPCop par le rseau en SSH. NTP - l'activit de la fonction serveur de temps d'IPCop. Cron - les traces de l'ordonnanceur cron. Login/Logout- la liste des connexions d'utilisateurs (et dconnexions) sur le serveur IPCop. Ceci inclut la fois les connexions locales et celles distance par le biais de l'interface SSH. Noyau - l'activit du noyau Linux du serveur IPCop. IPSec - l'activit d'IPSec - le module logiciel qu'IPCop utilise pour le VPN. Mise jour - les rsultats d'applications des mises jour d'IPCop faites depuis la page Systme > Mises jour. Snort - l'activit de SNORT, le systme de dtection d'intrusion. Figure 2.41. Affichage des traces systme

Annexe A. GNU Free Documentation License


Version 1.2, November 2002
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

0. Preamble

The purpose of this License is to make a manual, textbook, or other functional and useful document free in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others. This License is a kind of copyleft , which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free software. We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. But this License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book. We recommend this License principally for works whose purpose is instruction or reference.

1. Applicability and Definitions


This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide, royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The Document , below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as you . You accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law. A Modified Version of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language. A Secondary Section is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position regarding them. The Invariant Sections are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none. The Cover Texts are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words.

A Transparent copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy that is not Transparent is called Opaque . Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include PostScript, PDF, proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only. The Title Page means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in formats which do not have any title page as such, Title Page means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text. A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this definition. The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License.

2. Verbatim Copying
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the conditions in section 3. You may also lend copies, under the same conditions stated above, and you may publicly display copies.

3. Copying In Quantity
If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more than 100, and the Document's license notice requires Cover Texts, you must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies. The front cover must present the full title with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects. If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages. If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document, free of added material. If you use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public. It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version of the Document.

4. Modifications
You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version: A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History section of the Document). You may use the same title as a previous version if the original publisher of that version gives permission. B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has fewer than five), unless they release you from this requirement. C. State on the Title page the name of the publisher of the Modified Version, as the publisher. D. Preserve all the copyright notices of the Document.

E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices. F. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below. G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice. H. Include an unaltered copy of this License. I. Preserve the section entitled History , Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled History in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence. J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for previous versions it was based on. These may be placed in the History section. You may omit a network location for a work that was published at least four years before the Document itself, or if the original publisher of the version it refers to gives permission. K. In any section Entitled Acknowledgements or Dedications , Preserve the Title of the section, and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein. L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles. M. Delete any section Entitled Endorsements . Such a section may not be included in the Modified Version. N. Do not retitle any existing section to be Entitled Endorsements or to conflict in title with any Invariant Section. O. Preserve any Warranty Disclaimers. If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles. You may add a section Entitled Endorsements , provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard. You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made `by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one.

The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version.