Académique Documents
Professionnel Documents
Culture Documents
V2.0
Sommaire :
(Sommaire interactif)
I) Introduction.......................................................................................................................................... 2
II) Mettre en place une black liste sur IPFIRE .......................................................................................... 2
III) Réserver une adresse IP DHCP et modifier le filtrage de contenu pour un poste ............................. 8
IV) Mettre en place des règles de filtrage. .............................................................................................. 9
V) Bloquer un site web à partir de Windows Serveur 2008 R2 ............................................................. 13
VI) Sources ............................................................................................................................................. 15
Nous avons créé une machine virtuelle DEBIAN 6 (base 32 bits) lors d'un TP "Installation d'une
machine virtuelle DEBIAN 6 32 bits". Elle est placée dans la zone DMZ et nous l'avons paramétré avec
une adresse IP 10.69.1.1/24.
Pour se connecter à IPFIRE, nous allons utiliser l'interface graphique, ouvrez votre navigateur web
avec la premier machine virtuelle Windows 7 PRO.
Tapez dans la barre l'adresse IP d'IP FIRE avec le port 444. https://@IP:444. Faites Entrée.
Le port 444 est un protocole SNPP, Simple Network Paging Protocol est le cousin de SNMP
permettant d'envoyer des paquets IP (Internet) en direction d'un pager. C'est un protocole simple
pour la gestion des réseaux. Un problème de certificat non identifié apparait (pas de certification).
Cliquez sur Je comprends les risques.
Connectez-vous avec l'utilisateur admin d'IPFIRE et son mot de passe. Puis faites OK.
Nous allons paramétrer la blacklist (liste noire) de certains sites pour ne plus y accéder.
Une liste noire permet de bloquer l'accès à un site et à une adresse IP associée à une tentative de
piratage, ou alors de lutter contre le spam (sites jugés indésirables, illégaux...).
Allez dans l'onglet Réseau, vous retrouverez plusieurs options. Puis dans Maintenance url
filter.
Cochez la case Activer mise à jour automatique. Puis Valider paramètres de Mise à jour et
faites Mise à jour.
Déroulez la page en bas, vous retrouvez l’option Contrôle d’accès réseau en fonction avec
Adresse IP Bannies. Dans cette option vous pouvez bannir des adresses IP (ici nous
bannissons les adresses IP publiques de Facebook et de lequipe.fr) en complément des noms
de domaine pour éviter que des petits malins accèdent aux sites grâce à l’adresse IP.
On peut laisser un message quand un site est non autorisé. Et montrer la catégorie, l’adresse
URL et l’adresse IP de la page bloqué. Dans l’option URL Filter Réglages.
Il ne reste plus qu’à sauvegarder, valider et redémarrer votre IPFIRE pour prendre en compte
tous les paramètres mis en place. Cliquez sur Sauvegarder (pour garder en mémoire votre
configuration) puis Valider et Redémarrer.
Dans le menu Proxy web avancé > Paramètres communs. Cochez Actif sur green et
transparent sur green. Votre proxy sur le LAN sera actif.
Faites un test sur un site bloqué par la blacklist qu’on a validé. Pour vérifier que tout
fonctionne…
IPFIRE arrive à bloquer les sites ! Vérifier si tout fonctionne sur un autre PC dans le même VLAN et
avec un navigateur web différent (IE, Firefox, Chrome…)
Un problème s’est posé durant cette procédure. Le nom de domaine www.facebook.com est bloqué
mais on peut accéder à Facebook par HTTPS (port 443). Pour bloquer définitivement l’accès a
facebook, il faudrait rentrer ce script (shell). Il bloquera les requêtes à destination de facebook par le
port 443.
#!/bin/sh
# Used for private firewall rules
Nous n’avons pas testé ce script. De peur que des problèmes surviennent sur notre IPFIRE…
Dans cette procédure nous allons voir comment ne pas filtrer le contenu d’un poste en particulier
client DHCP. Il suffit de mettre en place une adresse IP Fixe tout en étant en DHCP. Aller sur votre
serveur Windows Server 2008 R2.
Accéder au Gestionnaire de serveur > Rôles > serveur DHCP > Plage étendue du LAN1. Faites
un clic droit sur Réservation est créer une nouvelle Réservation. Avec les paramètres
suivants :
Faites Ajouter.
Vérifier dans Baux d’adresses que la réservation pour ce poste est active.
Vous pouvez aussi vérifier sur le PC Client la configuration IP qu’il a avec un ipconfig. Il devrait avoir
une adresse préférer transmise par le serveur W08R2.
Ouvrez l’interface web d’IPFIRE depuis un navigateur, puis allez dans l’onglet Réseau >
Webproxy. Dans Adresses IP sans restriction mettez celle que vous avez réservé (pc client
sans restriction) et son adresse MAC correspondant. Puis Valider.
Puis allez dans Réseau > Filtre de contenu. Dans Contrôle d’accès réseau en fonction. Mettez
votre adresse IP non filtrées. Puis valider et redémarrer.
Vous pouvez maintenant accéder à tous les sites web depuis ce PC.
Dans cette procédure, nous allons mettre en place des règles de filtrage pour permettre la prise en
main à distance. Tout cela grâce à IPFIRE.
Dans l’interface web d’IPFIRE, cliquez sur l’onglet Pare-feu puis Transfert de port pour avoir
rentré les différentes règles dont on a besoin.
1ère Règle :
Lorsqu’une requête en SSH (port 22) arrivera sur l’interface extérieure de l’IPFIRE, elle devra
être transférée au serveur Debian. (Mis en place durant un TP).
Dans Ajouter une nouvelle règle. Sélectionnez le Protocole (UDP ou TCP), rentrez l’adresse IP
de destination correspondant à IPFIRE et le port de destination. Ecrivez une remarque, ceci
peut être utile pour savoir à quoi correspond la règle.
2ème Règle :
- Lorsqu’une requête lancée par le bureau à distance Windows arrivera sur l’interface
extérieure de votre IPFIRE, elle devra être transférée à la station locale PAE01-7PRO64-01.
Procédez de la même façon que la première règle. En respectant bien la 2ème règle. Puis faites
Ajouter.
Dans Règles courantes nous pouvons voir l’historique des Règles effectuées.
3ème Règle :
- Lorsqu’une requête lancée par le réseau 100.64.1.100/28 (uniquement celui-ci) pour une
prise en main à distance sur le port 3390 (TCP) arrivera sur l’interface extérieure de votre
IPFIRE, elle devra être transférée au serveur PAE01-2K8R2E-01
- Rendre le serveur Web disponible depuis l’extérieur sur le port http (cela permettra d’arriver
sur la page d’accueil du site par défaut).
Après
avoir
ajouter
les 4
règles
vous
devriez
avoir ce
résultat.
Après avoir écrites toutes ses règles nous pouvons vérifier la prise en main à distance. Mais avant ils
vont configurer sur les machines pour qu’elles soient opérationnelles.
Allez dans Démarrer > Panneau de configuration > Système et sécurité. Puis dans Paramètre
d’utilisation à distance.
Développer Serveur DNS > Zone de recherche directes. Faites un clic droit, puis Nouvelle
Zone...
Une fenêtre avec un assistant Nouvelle Zone pour le serveur DNS apparaitra.
Faites Suivant > Cochez Zone principale et Enregistrer la zone dans Active Directory.
Puis faites à nouveau Suivant.
Dans Étendue de la zone de réplication de Active Directory, cochez la case : Vers tout les
serveurs exécutés sur des contrôleurs de domaine dans ce domaine. Puis faites Suivant.
Vérifier maintenant si tout a fonctionné sous la première station Windows 7 Pro, l'administrateur ne
devrait pas y avoir accès. (sinon faites un petit ipconfig /release et renew).
VI) Sources
V2.0 : Modification et correctif des règles de filtrage (capture), récapitulatif de toutes les règles pour permettre
la prise en main à distance. Pour la 1ère règle, mettre l'Accès SSH.
+ Chapitre V sur le blocage d'un site web (facebook) à partir du serveur 2008 R2.
http://fr.wikipedia.org/wiki/IPFire