Vous êtes sur la page 1sur 62

1

IPCOP 1.4.x

Mise en œuvre

du Pare Feu

Et

1 IPCOP 1.4.x Mise en œuvre du Pare Feu Et Des Addons

Des Addons

2

1. Description du contexte et de l’architecture

IPCOP est une distribution Linux gratuite et OpenSource permettant la mise en place simplifiée d’un pare-feu puissant à moindre de coût.

La distribution utilisée pour ce TP est la version 1.4.16

  • 1.1. Pré requis :

Connaitre au minimum le plan d’adressage coté LAN (voir schéma ci-dessous), La manipulation de fichiers sous Linux est un plus.

Disposer d’un ordinateur connecté et configuré sur le réseau LAN et disposant d’un navigateur Internet.

La machine hôte doit disposer d’un minimum de 2 cartes réseau, afin de pouvoir reproduire le schéma suivant :

Réseau Liaison commutée ou Rouge lien LAN to LAN 192.168.1.0 Pare Feu Site distant ou accès
Réseau
Liaison commutée ou
Rouge
lien LAN to LAN
192.168.1.0
Pare Feu
Site distant ou
accès web (FAI)
Postes et serveurs
IPCOP

Réseau LAN

192.168.0.0

Dans le cas du produit IPCOP les deux cartes seront nommées comme suit :

Green (verte) pour la liaison LAN Red (Rouge) pour la liaison vers l’extérieur (Web, Site distant…)

Le produit IPCOP est tout à fait « virtualisable » cependant il est recommandé de tout de même disposer de 2 cartes réseau physique sur l’hôte.

  • 1.2. Création du support d’installation :

Le fichier téléchargé est de type image CDROM au format ISO (environ 45Mo). Ce dernier doit donc être gravé sur un media de type CD-R ou CD-R/W.

3

2. Lancement de l’installation :

Une fois le media crée, ce dernier doit être inséré dans le lecteur cdrom du pc hôte. Il est alors nécessaire de booter avec ce cd (configuration requise dans le setup du poste).

3 2. Lancement de l’installation : Une fois le media crée, ce dernier doit être inséré

A cet écran il est possible de démarrer l’installation en pressant « Entrée », les options permettent soit de préciser certains paramètres liés au matériels soit de modifier des paramètres tels que la langue d’installation, ou le partitionnement par défaut de l’installation.

3 2. Lancement de l’installation : Une fois le media crée, ce dernier doit être inséré

4

Sélectionner sur cet écran la langue d’installation d’IPCOP, dans notre exemple nous choisirons Français.

4 Sélectionner sur cet écran la langue d’installation d’IPCOP, dans notre exemple nous choisirons Français. Valider

Valider en pressant la touche entrée.

4 Sélectionner sur cet écran la langue d’installation d’IPCOP, dans notre exemple nous choisirons Français. Valider

Sélectionner ici Ok plus valider avec Entrée.

5

5 Ici le programme nous indique qu’il va partitionner le disque et installer les fichiers, sélectionner

Ici le programme nous indique qu’il va partitionner le disque et installer les fichiers, sélectionner Ok puis valider.

5 Ici le programme nous indique qu’il va partitionner le disque et installer les fichiers, sélectionner

6

6 Sur cet écran, s’il s’agit de la première fois que vous installez IPCOP sélectionner «

Sur cet écran, s’il s’agit de la première fois que vous installez IPCOP sélectionner « Passer » (en vous déplaçant avec les flèches puis en validant votre choix avec la barre d’espace) puis valider.

6 Sur cet écran, s’il s’agit de la première fois que vous installez IPCOP sélectionner «

Cet écran est primordial dans l’installation d’IPCOP car c’est ici que allez définir votre carte réseau Green (VERTE) liée au LAN. IPCOP dispose d’un module de recherche et de configuration automatique pour de nombreuses cartes réseau. Valider alors la fonction de recherche.

7

7 Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte réseau sur votre

Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte réseau sur votre système. Vérifier que cette dernière correspond bien au matériel présent dans votre machine et valider.

7 Cet écran nous indique qu’IPCOP a bien trouvé et configuré une carte réseau sur votre

Sur cet écran vous allez définir l’adresse IP de votre carte réseau VERTE.

Cette adresse doit être libre dans votre réseau LAN, dans notre exemple nous choisirons l’adresse : 192.168.0.254

8

8 A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première étape

A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première étape de la configuration.

8 A cet écran l’installation d’IPCOP est terminée, nous allons désormais procéder à la première étape

Sur cet écran choisir le clavier correspondant à votre disposition de clavier. Dans notre cas choisissons fr-pc puis validons.

9

9 Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez. Saisir

Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez.

9 Sur cet écran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez. Saisir

Saisir sur cet écran le nom d’hôte de votre machine puis validez, dans notre cas nous gardons le nom par défaut, à savoir ipcop.

10

10 A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut

A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut être de type FQDN, nous choisirons dans notre exemple bloktout.dom, puis validez.

10 A cet écran, choisissez le nom de domaine de votre infrastructure réseau, ce dernier peut

Cet écran permet de configurer une liaison (Rouge) de type RNIS ou Numéris (FT). Aujourd’hui rare, nous choisissons de désactiver cette fonction.

11

2.1. Configuration complémentaire

11 2.1. Configuration complémentaire Nous allons finaliser la configuration réseau de notre pare-feu. Nous allons alors

Nous allons finaliser la configuration réseau de notre pare-feu. Nous allons alors choisir le type de configuration réseau nous retenons.

Valider en pressant « entrée »

11 2.1. Configuration complémentaire Nous allons finaliser la configuration réseau de notre pare-feu. Nous allons alors

12

Afin de correspondre au schéma initialement présenté, nous choisissons GREEN+RED (Les autres configurations seront détaillées plus loin), puis nous validons.

Il faut ensuite définir les affectations de cartes réseau (Pour la carte Rouge dans notre cas)

12 Afin de correspondre au schéma initialement présenté, nous choisissons GREEN+RED (Les autres configurations seront détaillées

Sélectionner Affectation des pilotes et des cartes puis valider.

13

13 Nous voyons ici que la carte RED (rouge) n’est pas configurée. Il faut alors valider

Nous voyons ici que la carte RED (rouge) n’est pas configurée. Il faut alors valider ici pour effectuer une recherche de la carte réseau.

13 Nous voyons ici que la carte RED (rouge) n’est pas configurée. Il faut alors valider

Une fois la carte trouvée, il nous est proposé de l’affecter au réseau RED (rouge). Valider à ce niveau.

14

14 A ce stade, tout va bien, il faut valider. Nous allons désormais procéder à la

A ce stade, tout va bien, il faut valider.

14 A ce stade, tout va bien, il faut valider. Nous allons désormais procéder à la

Nous allons désormais procéder à la configuration de l’adresse de la carte RED :

15

15 Choisir RED puis OK. Ici nous pouvons soit choisir de saisir une adresse IP statique

Choisir RED puis OK.

15 Choisir RED puis OK. Ici nous pouvons soit choisir de saisir une adresse IP statique

Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au réseau rouge (Souvent dans le réseau du routeur), soit de laisse le routeur ou le FAI nous fournir une adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque réseau proposé.

16

16 Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit

Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit interroger IPCOP.

16 Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit

Saisir ici les adresses DNS de votre fournisseur d’accès internet, ainsi que l’adresse IP (LAN) de votre routeur(box…)

17

17 Il ne reste plus qu’a définir si IPCOP doit être serveur DHCP ou non. En

Il ne reste plus qu’a définir si IPCOP doit être serveur DHCP ou non.

17 Il ne reste plus qu’a définir si IPCOP doit être serveur DHCP ou non. En

En fonction de votre architecture, vous pouvez soit activer ou désactiver DHCP. Si vous l’activer, vous devrez alors connaitre votre plan d’adressage IP LAN, afin de créer l’étendue DHCP. Dans notre cas nous n’activerons pas le DHCP.

18

18 Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous pouvons passer à la

Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous pouvons passer à la dernière étape consistant à configurer les différents mot de passe du système. Valider l’option « Continuer ». Il est fort probable que l’écran de configuration DHCP apparaisse de nouveau, valider alors par le bouton OK.

18 Nous avons désormais terminé la configuration Réseau de notre IPCOP, nous pouvons passer à la

19

Le premier mot de passe que nous devons saisir est celui du compte « root » à savoir le super utilisateur qui vous permet d’entrer en mode console sur votre ipcop et surtout de pouvoir installer les AddOns.

Si lorsque ce vous saisissez le mot de passe, rien ne s’affiche, c’est normal

19 Le premier mot de passe que nous devons saisir est celui du compte « root

Le second compte appelé « admin » permet quant à lui d’administrer IPCOP depuis l’interface Web, ce compte ne permet pas d’ouvrir une session en mode console.

19 Le premier mot de passe que nous devons saisir est celui du compte « root

20

Enfin le dernier mot de passe permet de protéger la clé de cryptage des sauvegardes de configuration d’IPCOP.

20 Enfin le dernier mot de passe permet de protéger la clé de cryptage des sauvegardes

Si vous arrivez à cette page, c’est bon signe ! IPCOP doit alors redémarrer

21

3. Accès à IPCOP

3.1. Accès local en mode terminal

21 3. Accès à IPCOP 3.1. Accès local en mode terminal Lorsque vous arrivez à cet

Lorsque vous arrivez à cet écran il vous est possible d’ouvrir une session avec le compte « root »

21 3. Accès à IPCOP 3.1. Accès local en mode terminal Lorsque vous arrivez à cet

Vous pouvez alors relancer la configuration IPCOP en tapant la commande « setup »

22

22 Vous pouvez alors effectuer les modifications nécessaires et quitter si besoin. N’oubliez pas de fermer

Vous pouvez alors effectuer les modifications nécessaires et quitter si besoin.

N’oubliez pas de fermer votre session sur IPCOP avec la commande « logout »

3.2. Accès à distance via un navigateur Internet

Pour des raisons que j’ignore j’ai pu constater que l’affichage des menus était de meilleure qualité avec Internet Explorer qu’avec Firefox. J’utilise donc dans ce tutoriel Internet Explorer.

Exécutez alors votre navigateur internet favori puis saisissez l’adresse IP GREEN de votre IPCOP dans la barre d’adresse de votre navigateur suivie de :81 comme ci-dessous :

22 Vous pouvez alors effectuer les modifications nécessaires et quitter si besoin. N’oubliez pas de fermer

Selon le navigateur employé, il vous est demandé de valider un certificat de sécurité :

22 Vous pouvez alors effectuer les modifications nécessaires et quitter si besoin. N’oubliez pas de fermer

On arrive alors à la fenêtre de configuration IPCOP :

23

23 Il faut désormais vous connecter en cliquant sur le bouton « Connexion » Saisir ici

Il faut désormais vous connecter en cliquant sur le bouton « Connexion »

23 Il faut désormais vous connecter en cliquant sur le bouton « Connexion » Saisir ici

Saisir ici le login « admin » avec le mot de passe configuré auparavant.

Vous avez désormais accès à toutes les fonctions de votre IPCOP.

3.3. Accès à distance via un accès Telnet sur SSH

Pour cela nous allons sur la page de configuration Web dans l’onglet « Système » puis « accès SSH »

23 Il faut désormais vous connecter en cliquant sur le bouton « Connexion » Saisir ici

24

24 Il faut alors cocher les case « Accès SSH », et « autorise le transfert

Il faut alors cocher les case « Accès SSH », et « autorise le transfert TCP », puis « Enregistrer »

Nous pouvons désormais utiliser Putty pour administrer notre IPCOP à distance :

Noter bien la ligne en surbrillance : IPCOP écoute sur le port 222 pour SSH et non 22

24 Il faut alors cocher les case « Accès SSH », et « autorise le transfert

Tout comme notre navigateur, Putty nous informe qu’il faut accepter un certificat pour accéder a IPCOP, nous répondons donc Oui.

25

25
25

26

4. Installation des Add-Ons :

Pour installer les add-on sur IPCOP nous allons avoir recours au logiciel permettant d’envoyer des fichiers sur la machine IPCOP depuis un poste Windows à savoir WinSCP.

Pour utiliser WINSCP il est impératif d’avoir activé le protocol SSH sur l’IPCOP (voir plus haut)

4.1. Installation de AdvancedProxy

  • 4.1.1. Transfert du fichier d’installation

Via WinSCP transferer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP

26 4. Installation des Add-Ons : Pour installer les add-on sur IPCOP nous allons avoir recours

Saisir les informations de connexion puis cliquer sur « Connecter ».

26 4. Installation des Add-Ons : Pour installer les add-on sur IPCOP nous allons avoir recours

Comme pour Putty, il faut accepter le certificat.

27

27 Nous avons alors ici une interface ou à gauche se trouve les fichiers de votre

Nous avons alors ici une interface ou à gauche se trouve les fichiers de votre micro, et à droite les fichiers de votre IPCOP.

Nous allons alors nous positionner dans le répertoire « tmp » de l’IPCOP.

La copie s’effectue par un simple Glisser-Coller, nous allons alors sélectionner le fichier d’installation d’advancedProxy puis le glisser vers le répertoire /tmp de l’IPCOP

La fenêtre suivante apparait pour confirmer la copie :

27 Nous avons alors ici une interface ou à gauche se trouve les fichiers de votre

Cliquer sur Copier

28

28 Nous constatons que le fichier est bien copié. 4.1.2. Installation de l’addon Nous allons alors

Nous constatons que le fichier est bien copié.

  • 4.1.2. Installation de l’addon

Nous allons alors passer en mode console ou directement sur notre machine pour installer cet add-on.

Basculer dans le répertoire tmp, avec la commande « cd /tmp »

28 Nous constatons que le fichier est bien copié. 4.1.2. Installation de l’addon Nous allons alors

Lister le contenu du répertoire avec la commande « ll »

28 Nous constatons que le fichier est bien copié. 4.1.2. Installation de l’addon Nous allons alors

Commençons par installer l’Advanced Proxy, pour cela il faut tout d’abord extraire les fichier de l’archive compressée en TAR :

29

29 En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :

En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :

29 En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :

Entrons alors dans ce dernier pour exécuter l’installation d’Advanced Proxy :

29 En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :

Pour lancer l’installation il faut taper la commande suivante : « /install » comme ci-dessous :

29 En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :

Une fois l’installation terminée, nous avons ce type d’écran :

29 En tapant la commande « ll » nous constatons qu’un nouveau répertoire s’est crée :
  • 4.1.3. Configuration de Advanced Proxy

Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :

30

30 4.1.3.1. Activation du Proxy Avancé : Afin d’utiliser le proxy dans sa configuration initiale, il
  • 4.1.3.1. Activation du Proxy Avancé :

30 4.1.3.1. Activation du Proxy Avancé : Afin d’utiliser le proxy dans sa configuration initiale, il

Afin d’utiliser le proxy dans sa configuration initiale, il est impératif de l’activer.

Le mode transparent permet de se passer de toute configuration sur les postes clients au niveau des navigateurs internet (paramétrage du proxy). Tout trafic passant par la passerelle IPCOP sera analysé par le proxy.

Si cette solution peut être séduisante nous verrons plus loin qu’elle peut poser quelques problèmes dans certains cas.

  • 4.1.3.2. Activation des Logs

Ensuite nous allons activer les Logs de tout ce qui passe par IPCOP :

30 4.1.3.1. Activation du Proxy Avancé : Afin d’utiliser le proxy dans sa configuration initiale, il
  • 4.1.3.3. Gestion du contrôle d’accès

La section Contrôle d’accès par le réseau permet de définir les réseaux et sous réseau permits pour utiliser IPCOP.

31

31 Il est également possible ici de définir les IP ou adresses Mac non restreintes ou

Il est également possible ici de définir les IP ou adresses Mac non restreintes ou interdites.

Une adresse non restreinte n’est pas affectée par la réduction de bande passante par exemple.

Une adresse interdite, ne pourra pas accéder à internet !

  • 4.1.3.4. Les restrictions de temps

La section restrictions de temps, permet de définir les horaires d’accès au web.

31 Il est également possible ici de définir les IP ou adresses Mac non restreintes ou

Nous verrons lors de la configuration d’UrlFilter une méthode de restriction plus poussée.

  • 4.1.3.5. Les limites de transfert

La section Limites de transfert permet (à confirmer) de donner une limite sur la taille des fichiers en réception et en emission.

31 Il est également possible ici de définir les IP ou adresses Mac non restreintes ou

32

  • 4.1.3.6. Réduction du téléchargement

La section réduction du téléchargement, permet d’allouer de la bande passante globale et/ou par poste client.

32 4.1.3.6. Réduction du téléchargement La section réduction du téléchargement, permet d’allouer de la bande passante

Dans cet exemple, le débit total ENTRANT est de 1024kBit/s soit 128 Ko/s max, et le débit par hôte est de 256kBit/s soit 32Ko/s.

Cependant notez bien que ces débits n’affectent que le téléchargement sur http, une personne effectuant du téléchargement via FTP dispose de toute la bande passante disponible ( !)

Pour toute modification des paramètres de l’AdvancedProxy ne pas oublier de redémarrer le service en cliquant sur Sauver et redémarrer

32 4.1.3.6. Réduction du téléchargement La section réduction du téléchargement, permet d’allouer de la bande passante

4.2. Installation de UrlFilter

  • 4.2.1. Transfert du fichier d’installation

Via WinSCP transferer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP.

  • 4.2.2. Installation de l’addon

Via l’utilitaire Putty, extraire et installer l’addon comme suit :

Extraire…

32 4.1.3.6. Réduction du téléchargement La section réduction du téléchargement, permet d’allouer de la bande passante

Installer…

33

33 L’installation de l’add-on UrlFilter est terminée. 4.3. Configuration de UrlFilter Lorsque nous retournons dans notre
33 L’installation de l’add-on UrlFilter est terminée. 4.3. Configuration de UrlFilter Lorsque nous retournons dans notre

L’installation de l’add-on UrlFilter est terminée.

4.3. Configuration de UrlFilter

Lorsque nous retournons dans notre navigateur à la page de configuration d’IPCOP, nous avons dans l’onglet « Services » les fonctionnalités que nous venons d’ajouter :

33 L’installation de l’add-on UrlFilter est terminée. 4.3. Configuration de UrlFilter Lorsque nous retournons dans notre
  • 4.3.1. Activation du Filtreur d’URL

Nous voyons ici que le filtreur d’URL est bien disponible, cependant pour l’activer nous devons passer par AdvancedProxy.

Section UrlFilter :

34

34 Et bien sur ne pas oublier d’enregistrer les changements ! 4.3.1.1. Catégories de blocage Leswww.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier d’activer les blacklists personnalisées ! 4.3.1.3. Whitelistes personnalisées Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait bloqué par les blacklists par défaut. " id="pdf-obj-33-4" src="pdf-obj-33-4.jpg">

Et bien sur ne pas oublier d’enregistrer les changements !

  • 4.3.1.1. Catégories de blocage

34 Et bien sur ne pas oublier d’enregistrer les changements ! 4.3.1.1. Catégories de blocage Leswww.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier d’activer les blacklists personnalisées ! 4.3.1.3. Whitelistes personnalisées Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait bloqué par les blacklists par défaut. " id="pdf-obj-33-11" src="pdf-obj-33-11.jpg">

Les catégories de blocage sont des listes de domaines et URL qu’il est possible de bloquer simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter d’autres catégories de blocage.

  • 4.3.1.2. Blacklists personnalisées

34 Et bien sur ne pas oublier d’enregistrer les changements ! 4.3.1.1. Catégories de blocage Leswww.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier d’activer les blacklists personnalisées ! 4.3.1.3. Whitelistes personnalisées Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait bloqué par les blacklists par défaut. " id="pdf-obj-33-18" src="pdf-obj-33-18.jpg">

Dans cette section il est possible d’ajouter rapidement un domaine ou une URL à bloquer. Un domaine est de la forme www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php

Ne pas oublier d’activer les blacklists personnalisées !

  • 4.3.1.3. Whitelistes personnalisées

34 Et bien sur ne pas oublier d’enregistrer les changements ! 4.3.1.1. Catégories de blocage Leswww.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier d’activer les blacklists personnalisées ! 4.3.1.3. Whitelistes personnalisées Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait bloqué par les blacklists par défaut. " id="pdf-obj-33-30" src="pdf-obj-33-30.jpg">

Dans cette section il est possible d’ajouter rapidement un domaine ou une URL qui serait bloqué par les blacklists par défaut.

35

Un domaine est de la forme www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php

Ne pas oublier d’activer les Whitelistes personnalisées !

  • 4.3.1.4. Liste d’expressions personnalisées

35 Un domaine est de la forme <a href=www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier d’activer les Whitelistes personnalisées ! 4.3.1.4. Liste d’expressions personnalisées Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans dans une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer toutes les URL contenant l’expression : /gateway/gateway32.dll ? (pour msn) 4.3.1.5. Bloquer les extensions de fichiers Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…) compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…) Uniquement par le biais de la navigation HTTP. 4.3.1.6. Contrôle d’accès basé sur le réseau Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et celle qui doivent être bannies. 4.3.1.7. Contrôle d’accès basé sur le temps " id="pdf-obj-34-14" src="pdf-obj-34-14.jpg">

Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans dans une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer toutes les URL contenant l’expression : /gateway/gateway32.dll ? (pour msn)

  • 4.3.1.5. Bloquer les extensions de fichiers

35 Un domaine est de la forme <a href=www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier d’activer les Whitelistes personnalisées ! 4.3.1.4. Liste d’expressions personnalisées Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans dans une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer toutes les URL contenant l’expression : /gateway/gateway32.dll ? (pour msn) 4.3.1.5. Bloquer les extensions de fichiers Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…) compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…) Uniquement par le biais de la navigation HTTP. 4.3.1.6. Contrôle d’accès basé sur le réseau Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et celle qui doivent être bannies. 4.3.1.7. Contrôle d’accès basé sur le temps " id="pdf-obj-34-21" src="pdf-obj-34-21.jpg">

Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…) compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…)

Uniquement par le biais de la navigation HTTP.

  • 4.3.1.6. Contrôle d’accès basé sur le réseau

35 Un domaine est de la forme <a href=www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier d’activer les Whitelistes personnalisées ! 4.3.1.4. Liste d’expressions personnalisées Les listes d’expressions personnalisées permettent de bloquer des termes apparaissant dans dans une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer toutes les URL contenant l’expression : /gateway/gateway32.dll ? (pour msn) 4.3.1.5. Bloquer les extensions de fichiers Cette section permet de bloquer les fichiers exécutables (exe, com, bin, bat, cmd…) compressés (zip, rar, arj, tar.gz…), audio et video (mp3, wav, wma, avi, mpg,…) Uniquement par le biais de la navigation HTTP. 4.3.1.6. Contrôle d’accès basé sur le réseau Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et celle qui doivent être bannies. 4.3.1.7. Contrôle d’accès basé sur le temps " id="pdf-obj-34-30" src="pdf-obj-34-30.jpg">

Cette section permet de définir les adresse IP qui ne doivent pas être filtrées (serveurs) et celle qui doivent être bannies.

  • 4.3.1.7. Contrôle d’accès basé sur le temps

36

Si vous cliquer ‘définir les contraintes horaires’ vous arrivez à l’écran suivant :

36 Si vous cliquer ‘définir les contraintes horaires’ vous arrivez à l’écran suivant : Vous pourrez

Vous pourrez ici définir qui peut accéder à quoi et à quel moment de la semaine ou de la journée (ici les postes du réseau 192.168.10.0/24 peuvent accéder sans restrictions au contenu internet de 10h00 à 12h00 du lundi au vendredi.)

36 Si vous cliquer ‘définir les contraintes horaires’ vous arrivez à l’écran suivant : Vous pourrez

On voit qu’il est également possible de définir des quotas utilisateurs, il s’agit là de quotas ‘temps’ basés sur la durée de connexion.

  • 4.3.1.8. Paramètres des pages bloquées

36 Si vous cliquer ‘définir les contraintes horaires’ vous arrivez à l’écran suivant : Vous pourrez

Ici il est possible de paramétrer l’affichage de l’utilisateur lorsque ce dernier se voit être bloqué.

  • 4.3.1.9. Paramètres avancés

37

37 Vous pouvez ici par exemple activer SafeSearch, masquer le message d’erreur IPCOP pour la catégorieftp://ftp.univ- tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz Blacklist Shalla Secure Services : http://www.shallalist.de/Downloads/shallalist.tar.gz La combinaison de ces deux blacklists permet un filtrage assez poussé comme le démontre la nouvelle liste de catégories alors disponible : " id="pdf-obj-36-4" src="pdf-obj-36-4.jpg">
37 Vous pouvez ici par exemple activer SafeSearch, masquer le message d’erreur IPCOP pour la catégorieftp://ftp.univ- tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz Blacklist Shalla Secure Services : http://www.shallalist.de/Downloads/shallalist.tar.gz La combinaison de ces deux blacklists permet un filtrage assez poussé comme le démontre la nouvelle liste de catégories alors disponible : " id="pdf-obj-36-6" src="pdf-obj-36-6.jpg">

Vous pouvez ici par exemple activer SafeSearch, masquer le message d’erreur IPCOP pour la catégorie ads (Très souvent utilisée).

Vous pouvez également depuis cette section pallier à une ‘ruse’ des utilisateurs qui consiste à saisir l’ip de l’URL bloquée plutôt que l’adresse pour outre passer le filtrage, en cliquant sur bloquer l’accès aux sites pour cette (ou ces) adresse(s) IP

Enfin c’est ici que vous activez les logs pour le filtreur d’URL.

  • 4.3.1.10. Ajout massif de Blacklist

Pour d’avantage de filtrage il est conseillé d’installer d’autres Blacklist complémentaire à celle en place par défaut. J’ai pour ma part choisi les blacklist suivantes :

Blacklist de l’université de Toulouse : ftp://ftp.univ-

Blacklist Shalla Secure Services : http://www.shallalist.de/Downloads/shallalist.tar.gz

La combinaison de ces deux blacklists permet un filtrage assez poussé comme le démontre la nouvelle liste de catégories alors disponible :

38

38 4.3.1.11. Installation des blacklists Dans le bas de cette page il nous est possible d’uploader
  • 4.3.1.11. Installation des blacklists

Dans le bas de cette page il nous est possible d’uploader un fichier de blacklist :

38 4.3.1.11. Installation des blacklists Dans le bas de cette page il nous est possible d’uploader

En cliquant sur parcourir, nous allons allez chercher notre fichier de blacklist :

38 4.3.1.11. Installation des blacklists Dans le bas de cette page il nous est possible d’uploader

On sélectionne le fichier blacklists.tar.gz

39

39 Puis on clique sur charger la blacklist. En fonction de la blacklist et de la

Puis on clique sur charger la blacklist. En fonction de la blacklist et de la puissance de la machine cette opération peut prendre de 1 à 10 minutes !

Ne surtout pas redémarrer votre IPCOP pendant cette période !!!

Une fois terminée cette opération, nous constatons que la liste des catégories a évolué de façon significative :

40

5. Configuration de l’authentification :

Il est possible dans IPCOP de procéder à l’identification des utilisateurs d’Internet.

Cependant pour activer cette fonction, plusieurs points sont à prendre en considération :

  • - Le mode Proxy Transparent doit être désactivé

  • - Les postes clients doivent donc être configurés pour passer à travers le proxy

Plusieurs méthodes d’authentification sont disponibles sous IPCOP :

Dans le bas de la fenêtre de configuration du Proxy Avancé nous avons :

40 5. Configuration de l’authentification : Il est possible dans IPCOP de procéder à l’identification des

None

L’authentification est désactivée, aucun login/mot de passe n’est demandé.

Local Authentication

Cette méthode d’authentification est la préférée des petites structures, la gestion des utilisateurs et mot de passe est effectuée par IPCOP lui-même.

Authentication avec identd

Cette méthode est particulièrement prisée pour les entreprise ou

• l’authentication doit se faire de manière masquée

• le proxy doit fonctionner en mode transparent

• Les login utilisateurs sont davantage utilisés pour les log que pour une réèlle authentification.

Cette méthode requiert cependant l’installation d’un client idend sur les postes clients (surtout Microsoft)

Authentication utilisant LDAP

Cette méthode est la plus utilisée pour les réseau de moyenne et grande taille.

Les utilisateurs devront s’authentifier lors de l’accès aux site web par un couple login / Mot de passe

Les informations sont alors vérifées, par un serveur LDAP externe

Advanced Proxy fonctionne avec ces type de serveurs LDAP :

• Active Directory (Windows 2000 and 2003 Server)

• Novell eDirectory (NetWare 5.x und NetWare 6)

• LDAP Version 2 and 3 (OpenLDAP)

41

Note: le protocole LDAPS (Secure LDAP) n’est pas supporté par Advanced Proxy.

Windows authentication

Les utilisateurs doivent s’authentifier lorsqu’isl accèdent au web, les informations d’identification sont vérifiée par une contrôleur de domaine externe tel que :

• Windows NT 4.0 Server or Windows 2000/2003 Server • Samba 2.x / 3.x Server (running as Domain Controller)

RADIUS authentication

Les utilisateurs doivent s’authentifier lorsqu’ils accèdent au web, les informations

d’identification sont vérifiées par serveur RADIUS externe :

Dans notre cas nous allons utiliser l’authentification Locale.

Nous devons donc dans notre cas désactiver le mode transparent, et cocher l’option « locale »

41 Note: le protocole LDAPS (Secure LDAP) n’est pas supporté par Advanced Proxy. Windows authentication Les

Nous pouvons donc dès maintenant gérer nos utilisateurs en cliquant sur Gestion des utilisateurs :

41 Note: le protocole LDAPS (Secure LDAP) n’est pas supporté par Advanced Proxy. Windows authentication Les

Dans la partie droite de cette fenêtre nous avons la possibilité d’affecter 1 groupe parmi 3 à chaque utilisateur :

Standard : Toutes les restrictions sont actives tout le temps Etendu : Les membres de ce groupe outrepassent les restrictions Désactivé : Permet de désactiver un compte sans le supprimer

Une fois les utilisateurs crées, ils apparaissent comme ci-dessous :

42

42 Maintenant passons à la configuration du navigateur client : Il s’agit de configurer la navigateur

Maintenant passons à la configuration du navigateur client :

Il s’agit de configurer la navigateur pour passer à travers le proxy :

Pour Internet Explorer :

42 Maintenant passons à la configuration du navigateur client : Il s’agit de configurer la navigateur

Lors de l’ouverture du navigateur nous avons alors une fenêtre du type :

42 Maintenant passons à la configuration du navigateur client : Il s’agit de configurer la navigateur

43

L’utilisateur peut alors changer son mot de passe à l’adresse suivante :

43 L’utilisateur peut alors changer son mot de passe à l’adresse suivante : <a href=http://adresse-ip-verte-ipcop:81/cgi-bin/chpasswd.cgi " id="pdf-obj-42-8" src="pdf-obj-42-8.jpg">

44

6. Installation des Addons supplémentaires :

6.1. Installation de Update Accelerator

Update Accelerator est un outils fort utile sur un réseau d’entreprise effectuant régulièrement des mises à jour logicielles d’antivirus, de correctifs Windows et Linux. En effet ce dernier stocke localement les produits téléchargés et les met donc à disposition localement pour les utilisateur de manière totalement transparente pour ce dernier.

Attention : Cet addon s’avère extrêmement gourmand en espace disque ou bout de quelques temps (en fonction de votre parc) il malheureusement il ne s’installe pas sur la plus grande partition Linux de votre IPCOP . Un disque dur d’un minimum de 40 Go et un redimensionnement sont donc impératif.

Le redimensionnement peut se faire avec Gparted Live CD Edition disponible ici :

Recommandations :

  • - Réduire la partition /var

  • - Augmenter en conséquence la partition /

44 6. Installation des Addons supplémentaires : 6.1. Installation de Update Accelerator Update Accelerator est unhttp://ftpclubic31.clubic.com/files/bb5451de46edea0176eca239e76fe873/492ab59d/logiciel/g parted-live-cd_gparted_live_cd_0.3.7-7_francais_18746.iso Recommandations : - Réduire la partition /var - Augmenter en conséquence la partition / 6.1.1. Transfert du fichier d’installation Via WinSCP transferer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP. 6.1.2. Installation de l’addon Via l’utilitaire Putty, extraire et installer l’addon comme suit : Extraire… Installer… " id="pdf-obj-43-26" src="pdf-obj-43-26.jpg">
  • 6.1.1. Transfert du fichier d’installation

Via WinSCP transferer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP.

  • 6.1.2. Installation de l’addon

Via l’utilitaire Putty, extraire et installer l’addon comme suit :

Extraire…

44 6. Installation des Addons supplémentaires : 6.1. Installation de Update Accelerator Update Accelerator est unhttp://ftpclubic31.clubic.com/files/bb5451de46edea0176eca239e76fe873/492ab59d/logiciel/g parted-live-cd_gparted_live_cd_0.3.7-7_francais_18746.iso Recommandations : - Réduire la partition /var - Augmenter en conséquence la partition / 6.1.1. Transfert du fichier d’installation Via WinSCP transferer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP. 6.1.2. Installation de l’addon Via l’utilitaire Putty, extraire et installer l’addon comme suit : Extraire… Installer… " id="pdf-obj-43-40" src="pdf-obj-43-40.jpg">

Installer…

45

45 6.1.3. Configuration d’update accelerator Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP
  • 6.1.3. Configuration d’update accelerator

Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP :

45 6.1.3. Configuration d’update accelerator Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP

Cependant pour activer la fonction de cet addon il est impératif de passer par le Proxy Avancé :

45 6.1.3. Configuration d’update accelerator Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP

Une fois activé une des seules actions à mener est de vérifier l’espace disque disponible de façon régulière en cliquant sur Maintenance.

45 6.1.3. Configuration d’update accelerator Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP
45 6.1.3. Configuration d’update accelerator Une fois installé l’addon se trouve dans le menu SERVICES d’IPCOP

46

Il est alors possible ici de purger certains fichiers obsolètes :

46 Il est alors possible ici de purger certains fichiers obsolètes : 6.2. Installation de Sarg
46 Il est alors possible ici de purger certains fichiers obsolètes : 6.2. Installation de Sarg

6.2. Installation de Sarg

Sarg est un outils de journalisation des activités de navigation au travers d’un proxy Squid. Une version spéciale IPCOP à été développée, nous allons procéder à son installation et visualiser quelques logs (disponibles à partir d’un minimum de 24 heures)

  • 6.2.1. Transfert du fichier d’installation

Via WinSCP transferer le package sarg_ipcop.x.x.x.tar.gz dans le dossier /tmp de l’IPCOP.

  • 6.2.2. Installation de l’addon

Via l’utilitaire Putty, extraire et installer l’addon comme suit :

Extraire…

46 Il est alors possible ici de purger certains fichiers obsolètes : 6.2. Installation de Sarg

Installer…

46 Il est alors possible ici de purger certains fichiers obsolètes : 6.2. Installation de Sarg

47

  • 6.2.3. Visualisation de journaux IPCOP

Sarg est alors disponible via l’onglet Journaux d’IPCOP :

47 6.2.3. Visualisation de journaux IPCOP Sarg est alors disponible via l’onglet Journaux d’IPCOP : Au

Au bout de 24 heures (rotation et enregistrement de log par défaut) :

47 6.2.3. Visualisation de journaux IPCOP Sarg est alors disponible via l’onglet Journaux d’IPCOP : Au

Lorsqu’on cliquer sur Daily :

47 6.2.3. Visualisation de journaux IPCOP Sarg est alors disponible via l’onglet Journaux d’IPCOP : Au

48

6.3. Installation de BlockOutTraffic (BOT)

Par défaut IPCOP filtre tous les paquets entrant par le biais de sa fonction principale à savoir Pare-Feu.

Or lors d’une utilisation en entreprise l’accès Internet de cette dernière est parfois (voir souvent !) utilisée à des fins peu scrupuleuses par certains utilisateurs.

Jusqu'à maintenant IPCOP autorise la quasi-totalité des services en sortie, y compris le Peer 2 Peer, les prises de main à distance, le ftp…….

BlockOutTraffic permet de contrôler davantage ce qui sort de notre IPCOP. Dans notre exemple nous allons voir les points suivants :

Créer les règles de base pour accéder au web

Autoriser certains services

Affiner les droits utilisateurs

Créer des groupes d’ordinateurs et leur affecter des règles différentes

  • 6.3.1. Transfert du fichier d’installation

Via WinSCP transferer le package BlockOutTraffic.x.x.x.tar.gz dans le dossier /tmp/BOT de l’IPCOP.

  • 6.3.2. Installation de l’addon

Via l’utilitaire Putty, extraire et installer l’addon comme suit :

Extraire…

48 6.3. Installation de BlockOutTraffic (BOT) Par défaut IPCOP filtre tous les paquets entrant par le

Installer…

48 6.3. Installation de BlockOutTraffic (BOT) Par défaut IPCOP filtre tous les paquets entrant par le

49

  • 6.3.3. Configuration de BOT

La première action à mener est de se rendre dans l’onglet Pare-Feu puis Gérer le traffic sortant :

49 6.3.3. Configuration de BOT La première action à mener est de se rendre dans l’onglet

Un message nous informe que le fichier de configuration est invalide :

49 6.3.3. Configuration de BOT La première action à mener est de se rendre dans l’onglet

Il faut alors cliquer sur le bouton ‘Modifier’

Saisir les informations suivantes

49 6.3.3. Configuration de BOT La première action à mener est de se rendre dans l’onglet

L’adresse MAC du pc d’administration, sans cette dernière, vous ne pourrez pas

administrer votre IPCOP sur le port 81. Le port https d’administration : 445

Cochez la case ‘Lien autorisé, connexions établies’

Cochez la case ‘Journaliser les paquets ne correspondant pas à une règle de

BlockOutTraffic’ Action de refus par défaut : DROP

50

Cochez la case du mode ‘avancé’

Cochez la case ‘afficher les couleurs d’interfaces dans l’aperçu des règles’

Puis enregistrer.

La configuration de BOT ressemble alors à ceci :

50 ∑ Cochez la case du mode ‘avancé’ ∑ Cochez la case ‘afficher les couleurs d’interfaces
  • 6.3.3.1. Ajout des services d’accès à IPCOP

A partir de ce point nous allons devoir créer quelques services liés au fonctionnement d’IPCOP. Afin de pouvoir utiliser les services d’IPCOP et du filtrage et sera tout d’abord impératif de donner quelques droits aux utilisateurs du réseau local.

Pour cela rendez vous dans Pare-Feu, puis Configuration Avancée du BOT :

50 ∑ Cochez la case du mode ‘avancé’ ∑ Cochez la case ‘afficher les couleurs d’interfaces

Nous allons ici créer des services propres à IPCOP :

Un service SSH_IPCOP, permettant l’accès à la machine IPCOP par le biais du

protocole SSH sur le port 222 (par défaut) Un service PROXY_IPCOP, permettant d’utiliser les services Proxy d’IPCOP via le le

port 800 (par défaut) Un Service HTTPS_IPCOP, permettant l’accès à la configuration web de l’IPCOP via le port 445 (définit par défaut)

Pour cela choisir la rubrique ‘Paramètres de services’ :

51

51

S’affiche alors la liste des services ajoutés (vide par défaut) ainsi que la liste des services par défaut.

51 S’affiche alors la liste des services ajoutés (vide par défaut) ainsi que la liste des

Ajout du service SSH_IPCOP :

Saisir le nom du service, puis le port correspondant enfin le protocole utilisé puis ‘Ajouter’

51 S’affiche alors la liste des services ajoutés (vide par défaut) ainsi que la liste des

Une fois les services ajoutés la rubrique services doit ressembler à ceci :

51 S’affiche alors la liste des services ajoutés (vide par défaut) ainsi que la liste des
  • 6.3.3.2. Groupement des services

Afin prochainement de simplifier la création et la gestion des règles de filtrage, nous allons regrouper ces services dans un groupe afin de ne faire qu’une règle d’accès pour ces 3 services.

Pour cela choisir la rubrique ‘Réglages pour grouper’ :

51 S’affiche alors la liste des services ajoutés (vide par défaut) ainsi que la liste des

52

Sous cette section nous avons la section permettant de créer des groupements de services :

52 Sous cette section nous avons la section permettant de créer des groupements de services :

Nous allons créer les groupements suivants :

ACCES_IPCOP : Ce groupe intègrera les services SSH_IPCOP, HTTPS_IPCOP,

PROXY_IPCOP NAVIG_NORM : Ce groupe intégrera les services http(80), dns(53), pop3(110), smtp(25), ftp(21), ftp-data(20), permettant une navigation sur le web standard accompagnée de la possibilité de consultation de mail depuis un client en POP/SMTP et également la possibilité d’échanger des fichiers en FTP.

Création du groupe ACCES_IPCOP :

52 Sous cette section nous avons la section permettant de créer des groupements de services :

Le groupe une fois crée et avec les 3 services :

52 Sous cette section nous avons la section permettant de créer des groupements de services :

53

Avec l’autre groupe (NAVIG_NORM) :

53 Avec l’autre groupe (NAVIG_NORM) : 6.3.3.3. Création des règles d’accès à Internet Nous avons désormais
  • 6.3.3.3. Création des règles d’accès à Internet

Nous avons désormais crée nos groupement de services afin de simplifier la gestion des règles. Nous allons désormais créer les règles d’accès à Internet.

Notez bien que la règle par défaut interdit tout trafic

Le fonctionnement d’une règle de filtrage est le suivant sur IPCOP :

Il faut définir, l’interface d’entrée de la règle (celle sur laquelle le réseau source est connectée, souvent GREEN), puis le réseau Source, éventuellement le port source, puis définir s’il s’agit d’une règle d’accès à IPCOP ou d’accès à un autre réseau (web), par quelle interface la sortie doit s’effectuer (souvent RED), le réseau de destination, et le service ou groupement de service utilisé. Enfin on active ou non la règle.

53 Avec l’autre groupe (NAVIG_NORM) : 6.3.3.3. Création des règles d’accès à Internet Nous avons désormais

54

Création de la règle d’accès à IPCOP :

54 Création de la règle d’accès à IPCOP : Notez bien que pour le moment BlockOutTraffic

Notez bien que pour le moment BlockOutTraffic est désactivé (heureusement !)

54 Création de la règle d’accès à IPCOP : Notez bien que pour le moment BlockOutTraffic

Ajoutons la règle ayant pour action d’accepter le trafic vers IPCOP, en cliquant sur Nouvelle règle.

Configuration de la source :

54 Création de la règle d’accès à IPCOP : Notez bien que pour le moment BlockOutTraffic

Interface par défaut : Green Réseau par défaut : Green Network

Configuration de la destination :

54 Création de la règle d’accès à IPCOP : Notez bien que pour le moment BlockOutTraffic

Simplement cocher Accès à IPCOP

55

Configuration du ou des services :

55 Configuration du ou des services : Cocher service utilisé, puis choisir Regroupement de services et

Cocher service utilisé, puis choisir Regroupement de services et sélectionner ACCES_IPCOP

Réglages supplémentaires :

∑ ∑ ∑ ∑ Bien penser à cocher ‘Règle activée’ Définir l’action de la règle Saisir
Bien penser à cocher ‘Règle activée’
Définir l’action de la règle
Saisir un commentaire pour la règle
Désactiver les options de Match*

Si besoin définir une plage horaire de fonctionnement de la règle :

55 Configuration du ou des services : Cocher service utilisé, puis choisir Regroupement de services et

Cliquer alors sur Suivant pour visualiser votre règle avant de l’enregistrer, enregistrer directement si vous êtes sur de vous !

56

56 La règle que vous venez de créer est alors visible dans les règles actuelles :

La règle que vous venez de créer est alors visible dans les règles actuelles :

56 La règle que vous venez de créer est alors visible dans les règles actuelles :
  • 6.3.3.4. Création de la règle de navigation Web :

56 La règle que vous venez de créer est alors visible dans les règles actuelles :

Ajoutons maintenant la règle ayant pour action d’accepter le trafic vers Internet, en cliquant sur Nouvelle règle.

Configuration de la source :

56 La règle que vous venez de créer est alors visible dans les règles actuelles :

Interface par défaut : Green Réseau par défaut : Green Network

Configuration de la destination :

57

57 Cocher : autre réseau Réseau par défaut : Any Configuration du ou des services utilisés

Cocher : autre réseau Réseau par défaut : Any

Configuration du ou des services utilisés :

57 Cocher : autre réseau Réseau par défaut : Any Configuration du ou des services utilisés

Cocher : Service utilisé Regroupement de services : NAVIG_NORM

Enregistrer.

Les deux règles que nous venons de créer :

57 Cocher : autre réseau Réseau par défaut : Any Configuration du ou des services utilisés

A partir de ce point nous devons pouvoir activer BOT et tester la navigation.

Cliquer sur paramètres :

57 Cocher : autre réseau Réseau par défaut : Any Configuration du ou des services utilisés

Cliquer sur Activer BOT :

57 Cocher : autre réseau Réseau par défaut : Any Configuration du ou des services utilisés

Si tout s’est bien déroulé jusque là vous devez pouvoir naviguer sur Internet, echanger des mails via pop/smtp et faire du ftp (Mode Actif uniquement).

Par contre vous ne devez pas pouvoir vous rendre sur une page HTTPS

58

58 Si vous désirez autoriser le https, il suffit de se rendre dans Configuration avancée du

Si vous désirez autoriser le https, il suffit de se rendre dans Configuration avancée du BOT, puis réglages pour grouper :

58 Si vous désirez autoriser le https, il suffit de se rendre dans Configuration avancée du
58 Si vous désirez autoriser le https, il suffit de se rendre dans Configuration avancée du

Et ajouter le service par défaut https(443) au groupe NAVIG_IPCOP :

58 Si vous désirez autoriser le https, il suffit de se rendre dans Configuration avancée du

Cette modification est immédiate pour les utilisateurs.

  • 6.3.3.5. Créer des groupes d’ordinateurs

59

Dans l’état actuel d’IPCOP tout le monde y compris les serveurs et les admins disposent des droits de navigation identiques, cela peut dans certains cas s’avérer peu pratique (Mise à jour d’un serveur AntiVirus par exemple)

Dans ce chapitre nous allons donc voir comment affecter des services différents à différents ordinateurs voir groupe d’ordinateurs.

Pour cela nous prendrons l’exemple suivant :

Un espace de formation, composé de 14 postes stagiaires et d’un poste formateur. Les 14 postes disposent des droits que nous venons de mettre en place, le formateur peut utiliser n’importe quel service Internet. Si d’autres ordinateurs se connectent au réseau local, ces derniers ne doivent uniquement pouvoir naviguer en http.

Afin de différentier les postes de travail de manière intelligente, nous allons utiliser les adresses MAC des cartes réseau et non les adresses IP (plus pratique si vous utilisez un serveur DHCP sur votre réseau).

Pour saisir les adresses MAC des ordinateurs rendez vous dans Configuration avancée du BOT, puis réglages d’adresses :

59 Dans l’état actuel d’IPCOP tout le monde y compris les serveurs et les admins disposent
59 Dans l’état actuel d’IPCOP tout le monde y compris les serveurs et les admins disposent

Saisir un nom de poste (pas nécessairement le nom Netbios du poste) puis choisir MAC comme format d’adresse et saisir l’adresse MAC.

59 Dans l’état actuel d’IPCOP tout le monde y compris les serveurs et les admins disposent

Et ainsi de suite pour tous les pc que vous voulez répertorier :

59 Dans l’état actuel d’IPCOP tout le monde y compris les serveurs et les admins disposent

60

Une fois les postes crées, vous pouvez alors vous rendre dans paramètres txt du regroupement d’adresses :

60 Une fois les postes crées, vous pouvez alors vous rendre dans paramètres txt du regroupement

Vous allez alors pouvoir créer un groupe et y affecter un ou plusieurs postes :

60 Une fois les postes crées, vous pouvez alors vous rendre dans paramètres txt du regroupement

Au final nous obtenons quelque chose de ce genre :

60 Une fois les postes crées, vous pouvez alors vous rendre dans paramètres txt du regroupement
  • 6.3.3.6. Création de la règle pour le groupe de pc PC-FORMATEURS :

Configuration de la source :

60 Une fois les postes crées, vous pouvez alors vous rendre dans paramètres txt du regroupement

Configuration de la destination :

61

61 Une fois la règle terminée : Remarque : Il est possible de modifier l’ordre d’exécution

Une fois la règle terminée :

61 Une fois la règle terminée : Remarque : Il est possible de modifier l’ordre d’exécution

Remarque : Il est possible de modifier l’ordre d’exécution des règles ici :

61 Une fois la règle terminée : Remarque : Il est possible de modifier l’ordre d’exécution
  • 6.3.3.7. Modification de la règle pour les stagiaires :

Nous pouvons dès lors modifier la règle existante (la numéro ci-dessus) pour que seuls les pc du groupe PC-STAGIAIRES puissent utiliser les services configurés.

Il suffit de cliquer sur le bouton ‘modifier’

61 Une fois la règle terminée : Remarque : Il est possible de modifier l’ordre d’exécution

et de changer la source :

62

62 Puis d’enregistrer. Enfin il est possible de créer une nouvelle règle permettant par exemple uniquement

Puis d’enregistrer.

Enfin il est possible de créer une nouvelle règle permettant par exemple uniquement la navigation http pour tous les autres pc qui se connectent au réseau :

62 Puis d’enregistrer. Enfin il est possible de créer une nouvelle règle permettant par exemple uniquement

Pour cela nous avons du recréer un groupe de services appelé NAVIG_MINI comprenant les services domain(53) et http(80) uniquement.

Voici les regroupements que vous devez avoir si vous avez suivi ce tutoriel dans son intégralité jusqu'à maintenant :

62 Puis d’enregistrer. Enfin il est possible de créer une nouvelle règle permettant par exemple uniquement