Firewall basic – Ipfire
Mise en œuvre basic d’IPfire
Objectifs
- Mettre en place un firewall qui fera office de proxy web avec authentification LDAP.
- Mise en place d’une redirection vers un serveur web et/ou FTP dans la DMZ
- Pour mettre en place de la redondance avec KeepAlived c’est là
Concepts d’IPFIRE
Dans Ipfire (qui a repris le concept d’IPCOP), chaque interface du firewall est représentée par une couleur.
- Rouge : carte vers Internet (ici 192.168.100.0/24)
- Vert : carte vers le réseau local (192.168.0.0/24)
- Orange : carte vers la DMZ (192.168.10.0/29)
- Bleu : carte pour le réseau wifi
Par défaut IPFire agit comme un pare-feu et règle les accès ainsi :
Il fait proxy web, et IDS. On peut aussi lui ajouter des add-ons. L’installation de base est simple, le paramétrage parfois moins en fonction de l’infrastructure.
Cet article pour les paramétrages de base. D’autres sur VRRP avec IPfire, VPN, proxy et IDS sur ce site
Mise en oeuvre
Schéma
Organisation
2 machines virtuelles minimum
- 1 VM IP Ipfire :
- Vm linux démarrée à partir de Ipfire.iso
avec 3 cartes réseaux virtuelles (Avant le démarrage de la vm, noter les adresses Mac de chaque interface virtuelle)
- La carte rouge = Carte Wan: Internet
- La carte verte = Carte « votre commutateur
- La carte orange = Commutateur interne ‘DMZ’.
- Pour le client vert :
- 1 carte sur le réseau interne virtuel –vert
- Système client au choix : besoin d’un navigateur.
- Un serveur Web et un serveur FTP pour la DMZ
- 1 carte sur le réseau interne virtuel –DMZ
- Adressage fixe
- Un serveur Active Directory pour la fonction proxy d’authentification (réseau vert)
Facultatif : Un serveur DHCP (réseau vert)
Installation d’IPFIRE
Démarrage de la vm Ipfire
Choisir les options courantes d’installation (français, clavier, etc) et les passwords – attention au choix de clavier). La vm va redémarrer
Les étapes sont :
- attribution des paramètres réseau.
- Choix du type de réseau : rouge +vert + orange dans notre cas.
- Attribution des cartes
- Pour chaque interface sélectionner la carte virtuelle adéquate à l’aide de l’adresse mac.
- Attribution des IP :
- Carte rouge en DHCP
- Carte verte = la dernière adresse disponible de votre réseau
- Carte orange en 192.168.10.254/29
- Passerelle et DNS
- Donner les DNS et la passerelle pour atteindre Internet.
Si il n’y pas déjà un serveur DHCP dans le LAN, activer l’option DHCP pour le réseau vert (ou fixer l’adresse du client).
Plage de 192.168.0.10 à 192.168.0.20 passerelle = interface verte d’ipfire
IpFire redémarre il est fonctionnel à ce niveau.
Pour refaire l’installation se loger en root sur Ipfire
Taper : setup pour reconfigurer les choix de démarrage
Paramétrage depuis l’interface Web
- Démarrer la vm cliente
- Elle doit récupérer une adresse IP si le réseau interne virtuel est correctement paramétré.
- Depuis le navigateur aller à l’adresse https://192.168.10.254:444
- Accepter le certificat – l’alerte est due à l’auto signature du certificat.
IPfire présente son interface
Paramétrer des règles spécifiques
Par défaut le par feu est en mode 0.Pour paramétrer ses propres règles passer en mode 1.- Depuis la version 2.15 on ajoute directement les règles depuis Parefeu : firewall rules
- Dans la partie Iptables on peut vérifier le paramétrage exact des règles.
Redirection de port
Permet de rediriger les demandes publiques vers les serveur web et FTP de la DMZ.
- Une demande vient de l’interface rouge, (c’est-à-dire n’importe quelle adresse IP source puisse utiliser accéder à vos serveurs web).
- Le port qui est demandé par la source est 80 pour le http, 443 pour https,21 pour ftp ou un autre port en fonction de l’appli.
- La destination sera dans la DMZ, l’adresse IP de la machine Web, ou FTP
- Enfin le port sera celui correspondant au protocole adéquat.