Firewall basic – Ipfire

Mise en œuvre basic d’IPfire

Objectifs

  • Mettre en place un firewall qui fera office de proxy web avec authentification LDAP.
  • Mise en place d’une redirection vers un serveur web et/ou FTP dans la DMZ
  • Pour mettre en place de la redondance avec KeepAlived c’est là

Concepts d’IPFIRE

Dans Ipfire (qui a repris le concept d’IPCOP), chaque interface du firewall est représentée par une couleur.

  • Rouge : carte vers Internet (ici 192.168.100.0/24)
  • Vert : carte vers le réseau local (192.168.0.0/24)
  • Orange : carte vers la DMZ (192.168.10.0/29)
  • Bleu : carte pour le réseau wifi

Par défaut IPFire agit comme un pare-feu et règle les accès ainsi :

Il fait proxy web, et IDS. On peut aussi lui ajouter des add-ons. L’installation de base est simple, le paramétrage parfois moins en fonction de l’infrastructure.

Cet article pour les paramétrages de base. D’autres sur VRRP avec IPfire, VPN, proxy et IDS sur ce site

Mise en oeuvre

Schéma

 

ipfire esx sch-ipfire

 

 

Organisation

4 machines virtuelles minimum

  1. 1 VM IP Ipfire :
  • Vm linux démarrée à partir de Ipfire.iso

avec 3 cartes réseaux virtuelles (Avant le démarrage de la vm, noter les adresses Mac de chaque interface virtuelle)

  • La carte rouge sera en mode pont vers Internet
  • La carte verte sera en mode réseau interne (pour ce test) à renommer ‘vert’ par exemple
  • La carte orange sera fixée en réseau interne, à renommer ‘DMZ’.

ipfire esx

 

  1. Pour le client vert :
  • 1 carte sur le réseau interne virtuel –vert
  • Système client au choix : besoin d’un navigateur.

 

  1. Un serveur Web et un serveur FTP pour la DMZ
  • 1 carte sur le réseau interne virtuel –DMZ
  • Adressage fixe
  1. Un serveur Active Directory pour la fonction proxy d’authentification  (réseau vert)

Facultatif : Un serveur DHCP (réseau vert)

Installation d’IPFIRE

Démarrage de la vm Ipfire

Choisir les options courantes d’installation (français, clavier, etc) et les passwords  – attention au choix de clavier). La vm va redémarrer

Les étapes sont :

  1. attribution des paramètres réseau.
  • Choix du type de réseau : rouge +vert + orange dans notre cas.
  1. Attribution des cartes
  • Pour chaque interface sélectionner la carte virtuelle adéquate à l’aide de l’adresse mac. (que vous avez pensé à relever avant de démarrer la vm !)
  1. Attribution des IP :
  • Carte rouge en DHCP
  • Carte verte en 192.168.0.254/24 par exemple
  • Carte orange en 192.168.10.254/29
  1. Passerelle et DNS
  • Donner les DNS et la passerelle pour atteindre Internet.

Si il n’y pas déjà un serveur DHCP dans le LAN,  activer l’option DHCP pour le réseau vert (ou fixer l’adresse du client).

Plage de 192.168.0.10 à 192.168.0.20 passerelle = interface verte d’ipfire

IpFire redémarre il est fonctionnel à ce niveau.

Pour refaire l’installation se loger en root sur Ipfire

Taper : setup pour reconfigurer les choix de démarrage

Paramétrage depuis l’interface Web

  • Démarrer la vm cliente
  • Elle doit récupérer une adresse IP si le réseau interne virtuel est correctement paramétré.
  • Depuis le navigateur aller à l’adresse https://192.168.10.254:444
  • Accepter le certificat – l’alerte est due à l’auto signature du certificat.

IPfire présente son interface

Paramétrer des règles spécifiques

  • Par défaut le par feu est en mode 0. 
  • Pour paramétrer ses propres règles passer en mode 1.
  • Depuis la version 2.15 on ajoute directement les règles depuis Parefeu : firewall rules
  • Dans la partie Iptables on peut vérifier le paramétrage exact des règles.

Transfert de port

Permet de rediriger les demandes publiques vers les serveur web et FTP de la DMZ.

  • Une demande vient de l’interface rouge, (c’est-à-dire n’importe quelle adresse IP source puisse utiliser accéder à vos serveurs web).
  • Le port qui est demandé par la source est 80 pour le http, 21 pour ftp ou un autre port en fonction de l’appli.
  • La destination sera dans la DMZ, l’adresse IP de la machine Web, ou FTP
  • Enfin le port sera celui correspondant au protocole adéquat.
  • redirection nat

Paramétrage du Proxy

Social tagging: > > >

Laisser un commentaire