Procédure d’utilisation et de

paramétrage (filtrage) avec IPFIRE

Par AVIGNON Bastien et CHOMILIER Tom

V2.0

Sommaire :
(Sommaire interactif)

I) Introduction.......................................................................................................................................... 2
II) Mettre en place une black liste sur IPFIRE .......................................................................................... 2
III) Réserver une adresse IP DHCP et modifier le filtrage de contenu pour un poste ............................. 8
IV) Mettre en place des règles de filtrage. .............................................................................................. 9
V) Bloquer un site web à partir de Windows Serveur 2008 R2 ............................................................. 13
VI) Sources ............................................................................................................................................. 15

Responsables techniques AVIGNON Bastien (PAE01)

(identifiant)
CHOMILIER Tom (PAE03)
vlan LAN1 201
vlan LAN2 203
vlan DMZ 1001
vlan Ext. (internet) 298
Réseau IP LAN1 192.168.224.0/28
Réseau DMZ 10.69.1.0/24
DNS GSB-LYON-C.coop
Adr. IP FIXE Ext. (internet) 100.64.0.0/10
PLAGE DHCP 192.168.224.[5-8]/28
Adr. IP IPFIRE (LAN) 192.168.224.13/28
Adr. IP IPFIRE (DMZ) 10.69.1.254/24
Adr. IP IPFIRE(EXT) 100.64.1.101/24
Adr. IP srv 2K8R2E 192.168.224.1/28
Adr. IP DEBIAN32 10.69.1.1/24
Passerelle DEBIAN 32 10.69.1.254/24
MDP root IPFIRE & DEBIAN P@ssw0rdGSB
MDP admin. IPFIRE P@ssw0rdIPF

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

1|Page
 I) Introduction
Cette procédure explique comment faire pour mettre en place sur IPFIRE une black list (liste noire)
de sites web à partir d'une téléchargée. La mise en place du Proxy sans intervention sur les
équipements terminaux. Le blocage/filtrage de contenu sur certains sites, suivant la machine.
Ainsi que l'édition de règles de pare-feu pour la partie prise en main à distance d'une autre agence.

Nous avons créé une machine virtuelle DEBIAN 6 (base 32 bits) lors d'un TP "Installation d'une
machine virtuelle DEBIAN 6 32 bits". Elle est placée dans la zone DMZ et nous l'avons paramétré avec
une adresse IP 10.69.1.1/24.

II) Mettre en place une black liste sur IPFIRE

Pour se connecter à IPFIRE, nous allons utiliser l'interface graphique, ouvrez votre navigateur web
avec la premier machine virtuelle Windows 7 PRO.

 Tapez dans la barre l'adresse IP d'IP FIRE avec le port 444. https://@IP:444. Faites Entrée.

Le port 444 est un protocole SNPP, Simple Network Paging Protocol est le cousin de SNMP
permettant d'envoyer des paquets IP (Internet) en direction d'un pager. C'est un protocole simple
pour la gestion des réseaux. Un problème de certificat non identifié apparait (pas de certification).
Cliquez sur Je comprends les risques.

 Connectez-vous avec l'utilisateur admin d'IPFIRE et son mot de passe. Puis faites OK.

Identifiant IPFIRE. Pour le

PPE : utilisateur > admin et mdp >
P@ssw0rdIPF.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

2|Page
Vous arriverez sur l'interface web d'IPFIRE. On retrouve les différents réseaux avec leurs adresses IP
et leurs statuts (Internet, LAN, DNZ).

Nous allons paramétrer la blacklist (liste noire) de certains sites pour ne plus y accéder.
Une liste noire permet de bloquer l'accès à un site et à une adresse IP associée à une tentative de
piratage, ou alors de lutter contre le spam (sites jugés indésirables, illégaux...).

 Allez dans l'onglet Réseau, vous retrouverez plusieurs options. Puis dans Maintenance url
filter.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

3|Page
  Faites Parcourir est sélectionnez une liste noire (blacklists) puis téléchargez-là.

 Cochez la case Activer mise à jour automatique. Puis Valider paramètres de Mise à jour et
faites Mise à jour.

 Après rechargement de la page, de nouvelles catégories apparaissent. Cochez les catégories

que vous souhaitez.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

4|Page
  Dérouler pour accéder à la blacklist perso. Vous pourrez bloquer les sites que vous voulez en
mettant le nom de domaine. (Pour le PPE nous avons bloqué Facebook et lequipe.fr)

 Puis cochez Activer Blackliste perso.

Bloquer les noms de

domaine. Pour le PPE : Facebook,
Facebook mobile et lequipe.fr).

 Déroulez la page en bas, vous retrouvez l’option Contrôle d’accès réseau en fonction avec
Adresse IP Bannies. Dans cette option vous pouvez bannir des adresses IP (ici nous
bannissons les adresses IP publiques de Facebook et de lequipe.fr) en complément des noms
de domaine pour éviter que des petits malins accèdent aux sites grâce à l’adresse IP.

Bloquer les adresses IP. Pour

le PPE : Facebook correspond à
l’adresse IP : 173.252.110.27).

 On peut laisser un message quand un site est non autorisé. Et montrer la catégorie, l’adresse
URL et l’adresse IP de la page bloqué. Dans l’option URL Filter Réglages.

 Il ne reste plus qu’à sauvegarder, valider et redémarrer votre IPFIRE pour prendre en compte
tous les paramètres mis en place. Cliquez sur Sauvegarder (pour garder en mémoire votre
configuration) puis Valider et Redémarrer.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

5|Page
 Pour activer les options du proxy et ainsi bloquer les sites, il faut vous rendre dans le menu
Webproxy. Onglet Réseau > Sidemenu (à droite). Puis Webproxy.

 Dans le menu Proxy web avancé > Paramètres communs. Cochez Actif sur green et
transparent sur green. Votre proxy sur le LAN sera actif.

Après avoir valider votre configuration, redémarrer votre IPFIRE.

 Faites un test sur un site bloqué par la blacklist qu’on a validé. Pour vérifier que tout
fonctionne…

Site bloqué par la blacklist de

l’université de Toulouse.
Dans la catégorie « Hacking »

 Et un autre test, cette fois ci sur un nom de domaine bloqué manuellement.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

6|Page
 Le nom de domaine
lequipe.fr est bloqué
(custom-blocked).

IPFIRE arrive à bloquer les sites ! Vérifier si tout fonctionne sur un autre PC dans le même VLAN et
avec un navigateur web différent (IE, Firefox, Chrome…)

Un problème s’est posé durant cette procédure. Le nom de domaine www.facebook.com est bloqué
mais on peut accéder à Facebook par HTTPS (port 443). Pour bloquer définitivement l’accès a
facebook, il faudrait rentrer ce script (shell). Il bloquera les requêtes à destination de facebook par le
port 443.

#!/bin/sh
# Used for private firewall rules

# See how we were called.

case "$1" in
start)
## add your 'start' rules here
iptables -N NOFB
iptables -A NOFB -d www.facebook.com.1 -p tcp -m tcp --dport 443 -j DROP
iptables -A NOFB -d facebook.com -p tcp -m tcp --dport 443 -j DROP
iptables -A NOFB -j RETURN
iptables -I FORWARD -j NOFB
iptables -I OUTPUT -j NOFB
;;
stop)
## add your 'stop' rules here
iptables -D FORWARD -j NOFB
iptables -D OUTPUT -j NOFB
iptables -F NOFB
iptables -X NOFB
;;
reload)
$0 stop
$0 start
## add your 'reload' rules here
;;
*)
echo "Usage: $0 {start|stop|reload}"
;;
esac

Nous n’avons pas testé ce script. De peur que des problèmes surviennent sur notre IPFIRE…

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

7|Page
III) Réserver une adresse IP DHCP et modifier le filtrage de contenu pour un
poste

Dans cette procédure nous allons voir comment ne pas filtrer le contenu d’un poste en particulier
client DHCP. Il suffit de mettre en place une adresse IP Fixe tout en étant en DHCP. Aller sur votre
serveur Windows Server 2008 R2.

 Accéder au Gestionnaire de serveur > Rôles > serveur DHCP > Plage étendue du LAN1. Faites
un clic droit sur Réservation est créer une nouvelle Réservation. Avec les paramètres
suivants :

 Nom de réservation : le nom de votre poste client.

 Son adresse IP fixe voulu.
 L’adresse MAC du poste client. (Important car ceci permettra de le reconnaitre sur le réseau)
 Description.

Faites Ajouter.

 Vérifier dans Baux d’adresses que la réservation pour ce poste est active.

Vous pouvez aussi vérifier sur le PC Client la configuration IP qu’il a avec un ipconfig. Il devrait avoir
une adresse préférer transmise par le serveur W08R2.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

8|Page
Maintenant nous allons mettre en place l’adresse IP réservé sans aucune restriction, elle aura donc
accès à tous les sites.

 Ouvrez l’interface web d’IPFIRE depuis un navigateur, puis allez dans l’onglet Réseau >
Webproxy. Dans Adresses IP sans restriction mettez celle que vous avez réservé (pc client
sans restriction) et son adresse MAC correspondant. Puis Valider.

 Puis allez dans Réseau > Filtre de contenu. Dans Contrôle d’accès réseau en fonction. Mettez
votre adresse IP non filtrées. Puis valider et redémarrer.

Vous pouvez maintenant accéder à tous les sites web depuis ce PC.

IV) Mettre en place des règles de filtrage.

Dans cette procédure, nous allons mettre en place des règles de filtrage pour permettre la prise en
main à distance. Tout cela grâce à IPFIRE.

 Dans l’interface web d’IPFIRE, cliquez sur l’onglet Pare-feu puis Transfert de port pour avoir
rentré les différentes règles dont on a besoin.

1ère Règle :

 Lorsqu’une requête en SSH (port 22) arrivera sur l’interface extérieure de l’IPFIRE, elle devra
être transférée au serveur Debian. (Mis en place durant un TP).

 Dans Ajouter une nouvelle règle. Sélectionnez le Protocole (UDP ou TCP), rentrez l’adresse IP
de destination correspondant à IPFIRE et le port de destination. Ecrivez une remarque, ceci
peut être utile pour savoir à quoi correspond la règle.

 Puis cochez sur Activé et faites Ajoutez.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

9|Page
  Au préalable, vous devez activer l'accès SSH pour cela allez dans l'onglet Système > Accès SSH
et cochez toutes les cases. Ainsi que le port SSH est défini par le port 22. Puis Sauvegarder.

2ème Règle :

- Lorsqu’une requête lancée par le bureau à distance Windows arrivera sur l’interface
extérieure de votre IPFIRE, elle devra être transférée à la station locale PAE01-7PRO64-01.

 Procédez de la même façon que la première règle. En respectant bien la 2ème règle. Puis faites
Ajouter.

Dans Règles courantes nous pouvons voir l’historique des Règles effectuées.

3ème Règle :

- Lorsqu’une requête lancée par le réseau 100.64.1.100/28 (uniquement celui-ci) pour une
prise en main à distance sur le port 3390 (TCP) arrivera sur l’interface extérieure de votre
IPFIRE, elle devra être transférée au serveur PAE01-2K8R2E-01

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

10 | P a g e
 4ème Règle :

- Rendre le serveur Web disponible depuis l’extérieur sur le port http (cela permettra d’arriver
sur la page d’accueil du site par défaut).

Après
avoir
ajouter
les 4
règles
vous
devriez
avoir ce
résultat.

Après avoir écrites toutes ses règles nous pouvons vérifier la prise en main à distance. Mais avant ils
vont configurer sur les machines pour qu’elles soient opérationnelles.

 Allez dans Démarrer > Panneau de configuration > Système et sécurité. Puis dans Paramètre
d’utilisation à distance.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

11 | P a g e
  Cochez Autoriser les connexions d’assistance à distance vers cet ordinateur. Et Autoriser les
connexions des ordinateurs exécutant n’importe qu’elle version du bureau à distance. Puis
faites OK.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

12 | P a g e
Faites de même du coté serveur. Vous devriez pouvoir contacter les autres PC à distance et les autres
peuvent contacter votre système.

V) Bloquer un site web à partir de Windows Serveur 2008 R2

 Développer Serveur DNS > Zone de recherche directes. Faites un clic droit, puis Nouvelle
Zone...

Une fenêtre avec un assistant Nouvelle Zone pour le serveur DNS apparaitra.

 Faites Suivant > Cochez Zone principale et Enregistrer la zone dans Active Directory.
Puis faites à nouveau Suivant.

 Dans Étendue de la zone de réplication de Active Directory, cochez la case : Vers tout les
serveurs exécutés sur des contrôleurs de domaine dans ce domaine. Puis faites Suivant.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

13 | P a g e
  Dans Nom de la Zone. Mettez le site bloqué ici facebook.com. Puis faites Suivant.

 Dans Mise à Niveau, cochez la première case. Puis Suivant.

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

14 | P a g e
  Fin de l'Assistant Nouvelle Zone avec un résumé. Puis faites Terminer.

Vérifier maintenant si tout a fonctionné sous la première station Windows 7 Pro, l'administrateur ne
devrait pas y avoir accès. (sinon faites un petit ipconfig /release et renew).

VI) Sources
V2.0 : Modification et correctif des règles de filtrage (capture), récapitulatif de toutes les règles pour permettre
la prise en main à distance. Pour la 1ère règle, mettre l'Accès SSH.
+ Chapitre V sur le blocage d'un site web (facebook) à partir du serveur 2008 R2.

Tutoriel d’installation IPFIRE : http://wiki.ipfire.org/fr/installation/start

http://fr.wikipedia.org/wiki/IPFire

Tutoriel Réservation DHCP Windows 2008 R2 : http://www.foruminfopc.fr/tuto-windows-2008-server/serveur-

dhcp-reserver-une-adresse-ip-pour-un-hote-t459.html

ENTREPRISE GSB - Procédure d’utilisation et de paramétrage (filtrage) avec IPFIRE

15 | P a g e