IPFire - Firewall/Proxy/Filtrage/Addons

De Wiki des Responsables Techniques du 85
(Redirigé depuis Reseau:IPFire)
Aller à : navigation, rechercher
IPFire Logo.png

Présentation

IPFire est une distribution Linux basée sur Linux From Scratch qui a pour fonction de regrouper un Pare-Feu, un Proxy, du Filtrage et beaucoups d'addons.

Dérivée a la base de IPCop, cette distribution est très simple d'utilisation et d'administration, entièrement par interface web

Site officiel d'IPFire : http://www.ipfire.org/

Ipfire.PNG

Matériel requis

Le matériel requis est un serveur disposant de :

  • 2 interfaces réseaux minimum (1 + 1 RJ45 ou 1 RJ45 + 1 Wifi), 4 voir plus
  • 2 voir 4Go de ram
  • 60Go disque dur pour les logs et le cache

Le principe est que l'intégralité du réseau de l'école/établissement passe par cette passerelle de filtrage et ressorte ensuite vers la box Internet par l'autre interface.

C'est ce type de fonctionnement qui est préconisé et obligatoire dans nos établissements.

IPFire Diagramme base.png

Serveur dédié reconditionnés

On peut trouver des serveurs reconditionnés pour un prix modique ( moins de 150€) sur le site allemand ServerShop24.de qui seront parfait pour ce genre de fonction

Appliances IPFire

On peut également se tourner vers des boitiers dédiés appelés "Appliances" pré-installés avec IPFire : LightningWireLabs Appliances IPFire

Celles-ci sont plus honnéreuses mais elles consomment moins d'éléctricité et sont moins bruyantes qu'un serveur traditionnel, idéal pour une petite école.

Installation

IPFire est disponible sous la forme d'une image ISO téléchargeable sur le site officiel : http://downloads.ipfire.org/latest

Si votre serveur ne dispose pas de lecteur CD on pourra installer IPFire depuis une clé USB bootable.

Pour cela il faudra utiliser un outil comme Rufus

Installation de base

L'installeur vous demandera de définir successivement (images cliquables):

IPFire-001.png IPFire-002.png

  • Langue de l'installeur et de l'interface web

IPFire-003.png IPFire-004.png IPFire-005.png

  • Formater le disque

IPFire-006.png

  • Système de fichiers

IPFire-007.png IPFire-008.png

  • Configuration du clavier / date et heure

IPFire-010.png IPFire-011.png

  • Nom de l'hôte (ipfire par exemple) et Nom du domaine

IPFire-012.png IPFire-013.png

  • Mot de passe root shell et mot de passe admin web

IPFire-014.png

Jusque là, rien de très différent d'une installation classique

Type de configuration réseau

IPFire Diagramme 4pattes.png

IPFire-015.png

IPFire considère quatre zones distinctes :

Zone Type Description
Rouge WAN Réseau exterieur, connecté a Internet (votre box)
Vert LAN Réseau interne/privé, connecté localement (vos ordinateurs)
Orange DMZ Réseau non protégé, zone démilitarisé (un serveur isolé)
Bleu WLAN Réseau sans fil, séparé pour les clients Wi-Fi

Selon votre besoin vous pouvez choisir la configuration la plus adaptée.

Classiquement on utilisera la configuration VERT+ROUGE où IPFire filtrera le réseau LAN entrant vers le WAN.

Assigner les interfaces réseaux

Vous devrez ensuite assigner les cartes réseaux aux différents réseaux.

IPFire-016.png

  • Une carte pour l'interface LAN (GREEN)
  • Une carte pour l'interface WAN (RED)

IPFire-017.png

Puis définir les adresses IP. Pour éviter les confusions de réseau on pourra changer la classe de son adressage WAN pour bien le différencier de son adressage LAN.

 Par exemple : Adressage WAN : Classe C (192.168.0.0/24) -- Adressage LAN : Classe B (172.16.0.0/16)
  • Pour l'interface LAN il convient de définir une IP statique puisque elle sera utilisée comme adresse de passerelle par vos clients
  • Pour l'interface WAN il convient de laisser en adressage DHCP

IPFire-018.png

IPFire-019.png

Paramétrage de la passerelle et du DNS

Pour la passerelle il s'agit de la passerelle par défaut sur votre réseau WAN, c-a-d classiquement la box de votre FAI.

IPFire-020.png

Pour les DNS on pourra utiliser au choix :

  • 8.8.8.8 et 8.8.4.4 : DNS Google
  • 208.67.222.222 et 208.67.220.220 : DNS OpenDNS
  • Les DNS de vos FAIs

Serveur DHCP

IPFire peut devenir serveur DHCP sur l'interface verte, uniquement recommandé dans le cas où vous n'aviez pas de DHCP autre que la box FAI auparavant.

Install dhcp1.png

Fin de l'installation

Voilà c'est terminé il ne vous reste plus qu'a redémarrer et IPFire est installé.

IPFire-021.png

Configuration du WebProxy et du Filtrage

Pour accéder a l'interface web de gestion il vous suffit de vous rendre a l'aide de votre navigateur à l'adresse : <ip_du_serveur_ipfire>:444

Ipfire.PNG

La partie intéressante dans notre cas est le paramétrage

 Réseau -> WebProxy

Configuration du WebProxy

  • Activer le WebProxy
  • Le rendre transparent (redirection des requêtes du port 80 vers le proxy de manière transparente)
  • Activer le filtrage URL (SquidGuard)
  • Activer le "Mise à jour Accélérateur"

Ipfire-config-001.PNG

Configuration Cache

  • Activer la gestion du cache
  • Activer le mode hors connexion
  • Augmenter la taille du cache disque et memoire

Ipfire-config-002.PNG

Validez et Redémarrer

Configuration plages horaires et contrôle du téléchargement

  • Définir les jours autorisés
  • Définir les vitesses alloués par utilisateur et les types

Ipfire-config-003.PNG

Configuration du filtrage URL

  • Définir les catégories a filtrer

Ipfire-config-004.PNG

  • Éventuellement définir des exclusions ou permissions (blacklists/whitelists)
  • Éventuellement définir des mots clés a bloquer
  • Éventuellement définir des types de fichiers a bloquer
  • Définir les IP non filtrées / IP bannies d'Internet
  • Éventuellement définir des contraintes de temps / quotas utilisateurs

Validez et Redémarrer

Ipfire-config-005.PNG

Configuration des listes d'URL a filtrer

Ipfire-config-007.PNG


A ce moment là la page se recharge et vous avez beaucoup plus de possibilités de catégories

  • Cochez les catégories nécéssaires et Validez et Redémarrer

Ipfire-config-006.PNG

Les addons : PakFire

IPFire est conçu de façon modulaire avec un gestionnaire de paquets spécifique a IPFire.

La gestion de ces paquets est appelée Pakfire

Pour une description exhaustive de ces paquets voir ici dans la documentation officielle : http://wiki.ipfire.org/fr/addons/start

Ipfire-config-008.PNG

Parmis les addons intéressants j'ai noté :

  • ClamAV : Analyse AntiVirus
  • Iperf : Serveur analyse de bande passante
  • Cacti : Outil de visualisation des données de réseau avec RRDtool et SNMP
  • Sarg : Un outil d'analyse graphique des rapports proxy, qui peuvent être utilisés sur l'interface web
  • Guardian : IDS pour IPFire

Existent aussi des addons ownCloud, Samba, Transmission etc..