cahier d’administration ipcop

5/13/2018 CAHIER D’ADMINISTRATION IPCOP - slidepdf.com

http://slidepdf.com/reader/full/cahier-dadministration-ipcop 1/80

Manuel d'AdministrationChris Clancey

Harry Goldschmitt

John Kastner

Eric Oberlander

Peter Walker

Patrick Bernaud

Version française

Éric Boniface

Version française

Stéphane Chartier

Version française

Olivier Gey

Version française

Erwann SimonVersion française

Copyright © 2002-2008 Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander,Peter Walker

Permission is granted to copy, distribute and/or modify this document under the terms of theGNU Free Documentation License, Version 1.2 or any later version published by the FreeSoftware Foundation; with no Invariant Sections, with no Front-Cover Texts, and with noBack-Cover Texts. A copy of the license is included in the section entitled GNU Free

Documentation License.

http://www.chbcp.net/~pat/ipcop/admin/html/apa.html








Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes dela Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.2 outoute version ultérieure publiée par la Free Software Foundation ; sans Section Invariable ;sans Texte de Première de Couverture, et sans Texte de Quatrième de Couverture. Une copiede la présente Licence est incluse dans la section intitulée GNU Free Documentation License.

30 avril 2008

Historique des versions

Version 0.1.0 (beta) 29 Dec 2001 CW

Forward by Charles Williams

Version 1.2.0 10 Jan 2003 RW

1.2.0 revisions

Version 1.3.0 4 May 2003 HG

1.3.0 revisions

Version 1.4.0 30 August 2004 CC, HG, JK, EO, PW

1.4.0 revisions

Version 1.4.10 13 December 2005 HG, EO

1.4.10 revisions

Version 1.4.12 30 April 2008 HG, EO

1.4.12 revisions

Avant-propos

Mentions légales

IPCop est sous Copyright du IPCop Linux Group.

IPCop Linux est couvert par la GNU General Public License. Pour plus d'informations,

consultez le site web d'IPCop. Vous avez le droit de copier tout ou partie de ce document dumoment que cette déclaration de copyright accompagne la copie. Les informations contenuesdans ce document sont susceptibles de changer d'une version à l'autre.

Tout a été fait pour que le contenu de ce document soit exact et à jour. Cependant l'absenced'erreur ne peut être garantie. De ce fait, IPCop décline toute garantie explicite ou implicitequant aux éventuelles erreurs contenues dans ce manuel et aux dégâts qu'elles pourraiententraîner sur la disponibilité ou la performance du produit.

L'usage dans ce document de noms dans un sens général, de noms d'entreprises, de noms demarques, etc ne signifie pas que leur usage est « libre » selon les termes de la législation surles marques et qu'ils peuvent être utilisés par tous.




http://www.ipcop.org/







Tous les noms de marques sont utilisés sans garantie de libre utilisation et peuvent être desmarques enregistrées. En règle générale, IPCop se conforme à la notation adoptée par lefabricant. Les autres produits mentionnés peuvent être des marques enregistrées par leursfabricants respectifs.

Première Édition - 29 décembre 2001

Rédacteur - Charles Williams.

Je souhaite remercier toutes les personnes qui ont vérifiées et corrigées ce document, à savoir: Harry Goldschmitt, Mark Wormgoor, Eric S. Johansson et le reste du groupe IPCop Linux.

Seconde Édition - 10 janvier 2003

Rédacteurs - Chris Clancey, James Brice, Harry Goldschmitt, and Rebecca Ward.

Troisième Édition - 25 avril 2003

Rédacteurs - Chris Clancey, Harry Goldschmitt, and Rebecca Ward.

Quatrième Édition - 25 septembre 2004

Rédacteurs - Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander and PeterWalker.

Préface

Bonjour. Au nom de notre Chef de Projet, Jack Beglinger, l'équipe de Documentation voussouhaite la bienvenue dans ce Manuel d'Administration d'IPCop. Nous profitons d'ailleurs dece document pour vous remercier d'évaluer notre pare-feu et nous espérons qu'il satisfait à vosbesoins. L'équipe veut également remercier, pour sa présence et sa précieuse assistance auxutilisateurs novices ou expérimentés, la communauté bâtie autour d'IPCop Linux. Noussouhaitons enfin remercier l'équipe SmoothWall pour avoir fait naître cette communauté.

Que vous soyez un utilisateur convaincu mettant à jour son installation ou bien un nouvelutilisateur préparant sa première installation, nous espérons que vous trouverez dans ces pagestout ce qui vous est nécessaire pour prendre en main votre nouvel IPCop. Si, pour une raisonou pour une autre, quelque chose n'est pas traité ici et que vous estimez qu'il le devrait, prenezcontact avec nous pour nous le faire savoir. Nous aimons avoir un retour de nos utilisateurs(en réalité, certains parmi nous sont seuls, assis derrière leur écran à longueur de journées : unpetit message ne peut que leur faire plaisir) et nous ferons de notre mieux pour vous satisfaire.Vous pouvez maintenant vous relaxer et profiter pleinement de l'Internet sans souci.

Voici tout de même quelques pistes pour celles et ceux qui ne souhaitent pas prendre le tempsde lire ce manuel et sont trop impatients de pouvoir utiliser leur IPCop. La première versiond'IPCop était en fait une version intermédiaire pour nous permettre d'identifier les problèmesde la distribution IPCop Linux. Nous en sommes maintenant à la troisième publication réelle.

S'il vous arrivait de découvrir un problème, commencez par vérifier qu'il n'est pas traité dansla Foire Aux Questions d'IPCop. Nous faisons notre possible pour maintenir à jour cette FAQ



à chaque nouveau problème détecté et résolu (que cela soit en le contournant temporairementou en apportant une solution définitive).

Si votre problème ne trouve pas sa réponse dans la FAQ, il est toujours possible de nousrejoindre sur IRC (serveur : irc.openprojects.net canal: #ipcop), d'appeler à l'aide sur une des

listes de diffusion du projet ou bien encore de contacter directement le groupe IPCop Linuxpour assistance. Comprenez bien que vous obtiendrez plus rapidement une réponse avec lestrois premières méthodes. En effet, le délai de réponse d'une requête envoyée directement augroupe IPCop Linux est proportionnel à la charge du développement assuré par l'équipe.

Vous pourrez trouver de plus amples informations, des réponses aux questions fréquemmentposées, les adresses des listes de diffusion et les coordonnées complètes pour contacter legroupe IPCop Linux sur notre site web : Site Web IPCop.

Chapitre 1. Introduction par le Chef de Projet

Bienvenue et merci d'évaluer ou d'utiliser IPCop.

Qu'est ce qu'IPCop ?

Eh oui, qu'est ce que c'est qu'IPCop ?

1. IPCop est un pare-feu et il le restera.2. IPCop est une distribution Linux spécialisée, complète, adaptée et prête à protéger vos

réseaux informatiques. Elle est pour cela distribuée sous les termes de la GNU GeneralPublic License : son code source peut être téléchargé, évalué et même modifié. Ellepeut être entièrement recompilée par vos soins pour servir au mieux vos besoinspersonnels ou répondre à des impératifs de sécurité particuliers.

3. IPCop est une communauté dont les membres s'entraident avec le souci de toujoursfaire progresser le projet. Il peut s'agir d'expliquer à des débutants les bases desréseaux informatiques ou d'aider à la personnalisation d'IPCop pour des besoinsspécifiques tels que la téléphonie par Internet (VoIP) et l'implantation d'IPCop en

entreprise.

La réponse correcte à cette question piège est donc : les trois à la fois.

Motivations :

IPCop a été créé en réponse à plusieurs besoins. Le premier d'entre eux était le besoin d'uneprotection sûre et efficace de nos réseaux qu'ils soient personnels ou d'entreprises. Lorsque leprojet IPCop a été lancé en octobre 2001, il existait déjà d'autres pare-feu. Mais l'équipeIPCop d'alors a considéré qu'ils ne satisfaisaient pas à deux autres des besoins précédents :GPL et le sens de la communauté.




http://www.gnu.org/licenses/gpl.html









Le groupe fondateur d'IPCop a alors décidé de partir du code de base d'un pare-feu sous GPLet de faire les choses différemment. L'objectif était de remanier ce code pour se mettre àl'écoute des attentes de sa communauté d'utilisateurs. Parmi ces attentes se trouvaient celle delaisser à chaque utilisateur la possibilité de créer son propre IPCop, celle de proposer etd'ajouter des améliorations et celle d'apprendre grâce au travail des autres. C'est grâce à ces

objectifs clairs, en étudiant l'existant et en écoutant ses utilisateurs qu'IPCop a pu progresseret progresse toujours. Cette communauté permet à IPCop de mûrir et IPCop l'aide àprogresser.

Aujourd'hui, après près de deux ans et demi, la première révision majeure d'IPCop est publiée.Avec elle, nombre de fonctionnalités intéressantes ont été ajoutées : le support de quatreréseaux, la détection d'intrusion sur tous les réseaux et une nouvelle interface encore pluspratique n'en sont que quelques exemples.

Encore une fois, soyez les bienvenus dans IPCop !

Jack BeglingerChef du Projet IPCop

Aperçu des fonctionnalités

filtrage réseau par IPTable ;support des disques IDE, SCSI et CF (Disk on Chip) ;possibilité d'organisation du parc en quatre réseaux :

o VERT — Réseau interne de confiance ;o BLEU — Réseau sans-fil, confiance limitée (peut également être utilisé en

deuxième réseau VERT) ;o ORANGE — Zone délimitarisée (DMZ) pour les serveurs accessibles depuis

l'extérieur ;o RED — Réseau de connexion à l'Internet par :

modem RTC ISDN carte d'interface réseau connectée à :

un modem DSL,un modem-câble.

USB connecté (avec les pilotes matériels appropriés) à :un modem DSL,un modem-câble.

support de plusieurs « réelles » adresses IP sur le réseau ROUGE dans uneconfiguration à IP statique ;client DHCP sur le réseau ROUGE pour obtenir l'adresse IP du FAI, avec en plus lagestion du DNS dynamique au changement d'IP ;serveur DHCP sur les réseaux VERT et BLEU pour simplifier la mise en place et lamaintenance des réseaux ;client NTP pour le réglage automatique de l'heure de la machine IPCop et serveurNTP pour les machines des réseaux VERT et BLEU ;sonde de détection d'intrusions sur TOUS les réseaux (ROUGE, ORANGE, BLEU etVERT) ;



Réseau Privé Virtuel (RPV ou VPN) pour interconnecter plusieurs sites distants dansun unique grand réseau logique ;serveur mandataire Web et DNS pour diminuer les temps de connexion et simplifier lagestion du réseau ;administration de la machine, après installation, par une interface web sécurisée

permettant :o l'affichage des performances du processeur, de la mémoire et des disques ainsi

que le trafic réseau par des graphiques ;o la visualisation des journaux d'évènement et l'archivage automatique de ces

derniers ;o le choix entre plusieurs langues.

utilisation possible de matériel dépassé : 386 ou mieux. La version 1.4 a été testéeavec succès sur un 486sx25 disposant de 12Mo de RAM et 273Mo de disque dur. Ils'agissait de la plus ancienne et la plus modeste des machines disponibles au momentdu test. L'installation a été faite par le réseau. Cette configuration s'est avérée tout àfait correcte pour une connexion par modem-câble à 3Mb/s.

Remerciements

IPCop est tout à la fois un projet collaboratif et un projet reposant sur des composantsexistants de grande qualité. Ces remerciements sont adressés à nombre de personnes ayantaidé directement ou indirectement, ainsi qu'à tous ceux, anonymes, qui ont permis ledéveloppement du projet mais dont le nombre nous empêche de les lister ici. À ces derniers,

j'adresse personnellement tous mes remerciements et mes excuses pour l'absence de leur nom.

Pour tout le reste, merci… Une liste plus complète et à jour est consultable directement sur la

page Système→Crédits de votre IPCop.

Équipe principale

Mark Wormgoor — Développeur Principal.Alan Hourihane — Développeur SMP & SCSI.Gilles Espinasse — .Harry Goldschmitt — Chef de l'Équipe de Documentation.Eric Oberlander — Développeur & Coordinateur Traductions.

Développeurs. Mark Wormgoor, Alan Hourihane, Eric S. Johansson, Darren Critchley,

Robert Kerr, Gilles Espinasse, Steve Bootes, Graham Smith, Robert Wood, Eric Oberlander,Tim Butterfield et David Kilpatrick.

Équipe de documentation. Harry Goldschmitt, Chris Clancey, John Kastner, EricOberlander, Peter Walker.

Équipes de traduction.

Coordinatrice traductions : Rebecca WardDéveloppeur site Web/base de données traductions : Marco van Beek

Afrikaans : Johann du PreezArabe : Ghalia Saleh Shariha, Salma Mahmod AshourBulgare : Alexander Dimitrov



Portugais brésilien : Edson-Empresa, Claudio Corrêa Porto, Adilson Oliveira,Mauricio Andrade, Wladimir Nunes.Catalan : Albert Ferran Casas, Sergi Valls, Josep Sanchez, ToniChinois (simplifié) : Vince Chu, Yuan-Chen Cheng, Sohoguard.Chinois (traditionnel) : Ronald Ng.

Tchèque : Petr Dvoracek, Jakub Moc.Danois : Michael Rasmussen.Hollandais : Gerard Zwart, Berdt van der Lingen, Tony Vroon, Mark Wormgoor,Maikel Punie.Finois : Kai Käpölä.Français : Bertrand Sarthre, Michel Janssens, Erwann Simon, Patrick Bernaud, MarcFaid'herbe, Eric Legigan, Eric Berthomier, Stéphane Le Bourdon, Stéphane Thirion,Jan M. Dziewulski,spoutnik, Eric Darriak, Eric Boniface, Franck Bourdonnec.Allemand : Dirk Loss, Ludwig Steininger, Helmet, Markus, Michael Knappe,Michael Linke, Richard Hartmann, Ufuk Altinkaynak, Gerhard Abrahams, BenjaminKohberg, Samuel Wiktor.

Grec : Spyros Tsiolis, A. Papageorgiou, G. Xrysostomou.Gujarâtî : Kartik MistryHongrois : Ádám Makovecz, Ferenc Mányi-Szabó.Italien : Fabio Gava, Antonio Stano, Marco Spreafico.Japonais : Adam Barbary Raina OtoniLatino Spanish : Fernando Diaz.Lituanien: Aurimas FiŎeras.Norvégien : Morten Grendal, Alexander Dawson, Mounir S. Chermiti, RunarSkraastad, Alf-Ivar Holm.Persan (farsi) : Ali Tajik, A T Khalilian.Polonais : Jack Korzeniowski, Piotr, Andrzej Zolnierowicz, Remi Schleicher.Portugais : Luis Santos, Renato Kenji Kano, Mark Peter, Wladimir Nunes, DanielaCattarossi.Roumain : Viorel Melinte.Russe/ukrainien : Vladimir Grichina, Vitaly Tarasov.Slovaque : MiloŎ MrÃ¡z, Drlik Zbynek.Slovène : Miha Martinec, Grega Varl.Somalien : Mohamed Musa Ali.Espagnol : Curtis Anderson, Diego Lombardia, Mark Peter, QuiQue Soriano, DavidCabrera Lozano, Jose Sanchez, Santiago Cassina, Marcelo Zunino, Alfredo Matignon,Juan Janczuk.

Suédois : Anders Sahlman, Christer Jonson.Thaï : Touchie.Turc : Ismail Murat Dilek, Emre Sumengen.Ourdou : Mudassar IqbalVietnamien : Le Dinh Long.

Autres projets et sociétés : Traverse Technologies — Improved Dual ISDN and DOVsupport, Linux from Scratch (LFS) — base de code pour IPCop 1.4, FreeSwan etOpenFreeSwan — IPSec et logiciel de VPN, Smoothwall — origine et source d'inspiration du

projet, … ainsi que d'autres trop nombreux pour les citer tous.

Remonter ̂

http://www.chbcp.net/~pat/ipcop/admin/html/ch01s03.html#top





Chapitre 2. Administration et Configuration

Page d'accueil de l'interface d'administrationFigure 2.1. Page d'accueil Page

Pour accéder à l'interface d'administration d'IPCop, il suffit d'ouvrir un navigateur et d'entreren adresse soit l'adresse IP de l'interface VERTE, soit le nom d'hôte du serveur IPCop, le toutsuivi du numéro de port 445 (https/secure) ou 81 (redirigé automatiquement vers 445) :https://ipcop:445 ou https://192.168.10.1:445 ou http://ipcop:81 ou http://192.168.10.1:81.

Remarque : abandon de l'écoute sur le port 81 en HTTP

À compter de la version 1.4.0 d'IPCop, les connexions HTTP au port 81 sontautomatiquement redirigées sur le port 445 en HTTPS. Au moment de la conception d'IPCop,il y a de cela quelques années, seule une poignée de navigateurs supportait le protocoleHTTPS. Le port 81 était utilisé par tous les autres. La plupart a maintenant disparu ou s'estadaptée. La transmission en clair des mots de passe de votre IPCop étant par nature risqué, il aété décidé d'abandonner les connexions HTTP. Pour les utilisateurs habitués au port 81, lesconnexions sur ce port sont automatiquement redirigées sur HTTPS. Si vous utilisez encoreun navigateur ne supportant pas HTTPS, pensez à le mettre à jour ou à le remplacer.

Modification du numéro de port pour HTTPS

Dans certaines situations, il est nécessaire de changer le numéro de port servant auxconnexions sécurisées. Il s'agit d'éviter un conflit avec le port 445 utilisé par les DirectoryServices (SMB sur TCP/IP) des versions récentes de Windows. Certains FAI bloquentsystématiquement ce port 445 pour raison de sécurité, c'est à dire pour empêcher lapropagation de virus.

Un utilitaire en ligne de commande du nom de setreservedports a été introduit avec laversion d'IPCop 1.4.8. Il permet de modifier le port sécurisé d'écoute de l'interface

d'administration.

https://ipcop:445/

https://ipcop:445/

https://192.168.10.1:445/

https://192.168.10.1:445/

https://192.168.10.1:445/

http://ipcop:81/

http://ipcop:81/

http://ipcop:81/

http://192.168.10.1:81/

http://192.168.10.1:81/

http://192.168.10.1:81/

http://192.168.10.1:81/

http://ipcop:81/

https://192.168.10.1:445/

https://ipcop:445/



$ /usr/local/bin/setreservedports 5445

Même si le port numéro 5445 est suggéré dans l'exemple précédent, n'importe quel numéro deport entre 445 et 65565 convient tout aussi bien. S'il vous arrivait d'oublier le numéro de ce

port, vous pouvez toujours utiliser le protocole non sécurisé HTTP et le port 81 : votre requêteest alors automatiquement redirigée.

La page d'accueil de l'interface d'administration de votre IPCop apparaît dans votrenavigateur. Vous pouvez d'ores et déjà explorer les différentes options et les informationsdisponibles par le biais de cette interface. Vous trouverez ci-dessous la liste des optionsprincipales de configuration/administration. Lorsque vous vous sentirez suffisamment à l'aiseavec le système, continuez avec les sections suivantes de ce manuel.

Les pages web d'administration d'IPCop sont accessibles par des onglets en haut de l'écran :

Système : Configuration du système et fonctions associées à IPCop.Etat : Présentation détaillée de l'état de plusieurs éléments de votre serveur IPCop.Réseau : Configuration/Administration de vos paramètres de connexion.Services : Configuration/Administration de nombreux services optionnels de votreserveur IPCop.Pare-feu : Configuration/Administration de la fonction pare-feu de votre serveurIPCop.RPVs : Configuration/Administration de votre éventuel Réseau Privé Virtuel.Journaux : Consultation de tous les journaux d'évènements générés par votre serveurIPCop (pare-feu, sonde de détection d'intrusion, etc).

Cette page d'accueil est une des nombreuses pages qui diffère selon la configuration d'IPCop.Par exemple, si votre connexion est de type Ethernet par l'interface ROUGE, la page d'accueiln'affiche pas de nom de connexion.

Figure 2.2. Page d'accueil, connexion de type Ethernet

En revanche, si votre connexion à l'Internet est de type PPP et en admettant que laconfiguration de la connexion est correcte, trois boutons viennent compléter l'affichage

précédent.



Figure 2.3. Page d'accueil, connexion par modem

NoteAucune connexion n'est affichée tant que vous n'avez pas fini de paramétrer votre serveurIPCop.

Le nom de domaine pleinement qualifié de la machine IPCop apparaît dans le coin supérieurgauche de la zone d'informations de connexion.

Boutons de gestion de la connexion

Connexion - Lance une tentative de connexion à l'Internet.

Déconnexion - Termine une connexion à l'Internet.Rafraîchir - Réactualise les informations données par la page d'accueil.

En plus des boutons décrits ci-dessus, le nom du « Profil actuel » utilisé pour la connexion estaffiché. Il est suivi d'une ligne donnant l'état actuel de la connexion. Ces états sont les suivants:

Inactif - Pas de connexion à l'Internet et aucune tentative en cours.Connexion en cours... - Tentative de connexion à l'Internet en cours.Connecté - Actuellement connecté à l'Internet.

Si une connexion à l'Internet est en cours, l'état est complété par un message utilisant le motif suivant :

Connecté ( #d #h #m #s)d=nombre de jours de connexionh=nombre d'heures de connexionm=nombre de minutes de connexions=nombre de secondes de connexion

Au dessous de ce bloc d'information sur le profil courant et l'état de la connexion se trouve

une ligne du genre :7:07pm up 1 day, 7:21, 0 users, load average: 0.03, 0.01, 0.00



Cette ligne représente la sortie de la commande Linux uptime. Elle affiche l'heure courante,le nombre de jours/heures/minutes depuis le dernier redémarrage et le nombre d'utilisateursconnectés sur le serveur IPCop. Les derniers nombres représentent la charge moyenne de lamachine. Enfin, cette page peut vous informer sur la disponibilité de mises à jour pour votreIPCop.

IPCop dispose de deux utilisteurs web en plus de l'utilisateur root sur la console. Le premierse nomme admin. Grâce à cet identifiant, vous avez accès à tous les écrans de l'interfaced'administration. L'autre identifiant, nommé dial, n'est autorisé qu'à utiliser les boutonsConnexion et Déconnexion. Par défaut, l'utilisateur dial est désactivé ; pour l'activer vousdevez lui assigner un mot passe. La consultation des écrans d'accueil et d'information nenécessitent pas d'authentification. Pour tous les autres, le mot de passe de l'utilisateur adminest requis.

Pages de l'onglet Système

Cet ensemble de pages est conçu pour vous aider à administrer et contrôler votre serveurIPCop. Pour y accéder, sélectionnez l'onglet Système dans la partie supérieure de l'écran.Vous avez alors le choix entre :

Accueil — pour retourner à la page d'accueil ;Mises à jour — pour rechercher et appliquer des correctifs à votre IPCop ;Mots de passe — pour changer le mot de passe de l'utilisateur admin, etéventuellement en assigner un à l'utilisateur dial ;Accès SSH — pour activer et configurer l'accès sécurisé à votre IPCop par SSH ;Interface Graphique — pour activer ou désactiver l'utilisation de Javascript par

l'interface d'administration et en changer le langage ;Sauvegarde — pour sauvegarder les paramètres de configuration de votre IPCop, soitdans un fichier, soit sur une disquette. Ces paramètres peuvent aussi être restaurésdepuis cette page ;Arrêter — pour arrêter ou redémarrer votre IPCop ;Crédits — pour afficher la liste des nombreux volontaires et autres projets qui fontd'IPCop ce qu'il est.

Page Mises à jour

Cet page se décompose en deux parties :

1. Le premier encadré présente les correctifs disponibles et propose les liens permettantde les télécharger et de les appliquer. Il vous offre aussi la possibilité de sélectionnerun type de noyau et libérer ainsi de l'espace disque.

2. Le second encadré donne la liste des correctifs déjà installés.

http://www.chbcp.net/~pat/ipcop/admin/html/ch02.html#Home-GUI

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#updates

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#passwords

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#SSH

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#gui_settings

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#backup

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#shutdown

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#shutdown

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#backup

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#gui_settings

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#SSH

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s02.html#passwords





IPCop vérifie automatiquement la disponibilité de correctifs lors de chacune de vosconnexions à l'Internet. Vous pouvez également lancer manuellement cette vérification encliquant sur le bouton Actualiser la liste des mises à jour. Pour chaque mise à jour disponible,une courte description et un lien pour son téléchargement sont insérés dans ce cadre.

En cliquant sur le bouton Télécharger, vous récupérez un fichier d'extension .tgz.gpg directement sur votre machine IPcop (ceci ne fonctionne pas correctement sur la versionIPCop 1.4.20 à cause d'un bug, vous devez donc installer manuellement la mise à jour vers laversion 1.4.21).

La mise à jour manuelle vous impose de télécharger le fichier .tgz.gpg sur votre poste client,et non sur la machine IPCop comme précédemment, à l'aide d'un navigateur Web. Ceci fait,au niveau du champ Transférer le fichier de mise à jour, utilisez le bouton Parcourir poursélectionner le fichier sur votre machine cliente. Puis cliquez sur le bouton Chargement pourtransférer le fichier vers la machine IPCop et appliquer le correctif.

L'espace disque de la partition « /boot » étant limité, les mises à jour relatives au noyaudoivent parfois être scindées en deux.

Pour augmenter cet espace disque, une option a été introduite permettant de sélectionner et dene conserver qu'un type de noyau parmi les deux installés par défaut - un pour système mono-

processeur et un pour système multi-processeurs type SMP.



Après l'installation d'IPCop version 1.4.17, utilisez le bouton Actualiser la liste des mises à jour pour profiter de la nouvelle page de mises à jour. Dans la section Utilisation du disque,une case de couleur rouge indique un niveau d'espace disque libre insuffisant. Pour en libérerplus, vous devez sélectionner le type de noyau adapté à votre machine en cliquant sur lebouton Sélection du type de noyau. Ceci a pour effet de créer de l'espace sur les partitions

/dev/root et /boot. Au redémarrage suivant, il est possible que vous deviez indiquer aulanceur grub le noyau à utiliser si celui-ci ne se trouve pas en première ligne du menuprésenté.

Les seuils d'avertissement d'un remplissage excessif d'une partition (conduisant à une case decouleur rouge) sont de 20 Mo libres sur la partition /dev/root et 1 Mo libre sur la partition/boot. Le partitionnement automatique des disques SCSI ne permet le maintien que de deuxversions de noyau (2.4.31 et 2.4.34) et deux types de noyau avant la saturation de la partition/boot. Sa taille a été amenée de 8 à 10 Mo avec la version 1.4.18 d'IPCop.

Le nettoyage du cache du serveur mandataire web (squid) peut également permettre lalibération d'espace disque sur la partition /var/log. Ce nettoyage se fait par un clic sur lebouton Vider le cache.

Note

Seules les mises à jour IPCop officielles peuvent être installées sur votre serveur IPCop.Certaines nécessitent un redémarrage manuel de la machine, lisez donc très attentivement latotalité de la description de chacune avant de les appliquer.

Résolution des problèmes de mises à jour

Si vous obtenez le message d'erreur « Ceci n'est pas une mise à jour autorisée. », vérifiez quel'horloge de votre machine IPCop ne retarde pas : ce décalage laisse penser à gpg que lecorrectif a été signé dans le futur, déclenchant alors une erreur.

Pour confirmer ce problème, consultez les messages enregistrés dans le fichier de journalisation /var/log/httpd/error_log .



IPCop étant fréquemment installé sur des matériels un peu anciens, il n'est pas rare quel'horloge du système soit inexacte à cause d'une défaillance de sa batterie.

Page Mots de passe

La page Mots de passe vous permet de changer les mots de passe des utilisateurs admin et dialsi vous le jugez nécessaire. Tapez deux fois le nouveau mot de passe pour l'utilisateurconcerné et cliquez sur le bouton Enregistrer.

L'utilisateur dial est activé par l'assignation d'un mot de passe à son identifiant. Cet utilisateurparticulier est autorisé à se servir des boutons de la page Accueil de l'interfaced'administration d'IPCop. Il ne peut en revanche ni modifier, ni consulter les autres pages.Servez-vous de cet utilisateur si vous possédez une connexion de type modem et que voussouhaitez autoriser vos utilisateurs à initier les connexions à l'Internet sans posséder pourautant les droits de l'utilisateur admin.

Page Accès SSH

Cette page vous permet d'autoriser ou d'interdire l'accès distant à votre machine IPCop parSSH. En cochant la première des cases, vous rendez possible l'accès distant par SSH.Plusieurs autres options sont à votre disposition. L'accès SSH est désactivé par défaut et nousvous recommandons de ne l'activer que lorsque vous en avez besoin et de le désactiver parla suite.

Figure 2.4. Accès SSH et clés d'hôte SSH







Tout comme le HTTP et le HTTPS de votre machine IPCop utilisent respectivement les portsnon-standard 81 et 445, le port attaché à SSH pour IPCop est le 222. Si vous vous servezd'une application graphique pour l'accès à votre machine IPCop, pensez à spécifier le port 222dans les options de connexion. Si vous utilisez les commandes ssh, scp ou sftp et ce bienqu'elles soient proches, la syntaxe pour indiquer le port est différente. En admettant que votremachine IPCop possède l'adresse IP 192.168.254.1, les commandes s'écrivent :

SSH$ ssh -p 222 [email protected]

SCP$ scp -P 222 some/file [email protected]:

SFTP$ sftp -o port=222 [email protected]

Reportez-vous aux pages de manuel sur votre machine cliente pour une explication complètede ces commandes.

SSH

Depuis cette page, les options SSH suivantes sont disponibles :

Accès SSH

En cochant cette case, vous activez SSH. À moins de mettre en place un accès externe,le servive n'est utilisable que depuis le réseau VERT. Lorsque SSH est activé, toutepersonne ayant connaissance du mot de passe root d'IPCop peut s'introduire sur votrepare-feu et y obtenir une ligne de commande.

Support du protocole SSH version 1 (requis uniquement pour les clients anciens)



En cochant cette case, les connexions de clients SSH version 1 sont autorisées.L'activation de cette fonctionnalité est fortement déconseillée. Il existe plusieursvulnérabilités connues avec SSH version 1. Son utilisation doit se limiter à un accèstemporaire et seulement si vous disposez de clients version 1 sans possibilité de mise à

jour en version 2. La plupart des clients SSH, pour ne pas dire tous, supporte la

version 2. Aussi pensez à mettre à jour vos clients.

Autorise le transfert TCP

Le fait de cocher cette case vous permet de créer des tunnels SSH chiffrés entre desmachines protégées par le pare-feu et des utilisateurs extérieurs.

Pourquoi utiliser cela alors qu'IPCop propose déjà un VPN ?

Imaginez. Vous êtes sur la route et quelque chose va mal sur l'un de vos serveurs.Vous n'avez pas mis en place une connexion VPN nomade. Si vous connaissez le mot

de passe de votre IPCop vous pouvez utiliser le transfert de port pour traverser votrepare-feu IPCop et accèder au serveur en question qui se trouve sur l'un des réseauxprotégés. Les paragraphes suivants expliquent comment faire cela en admettant qu'unserveur telnet tourne sur la machine interne d'adresse IP 10.0.0.20. L'hypothèse d'unsystème Linux comme machine distante est également faite. La commande putty sousWindows propose les mêmes fonctionnalités mais vous y accédez par des boîtes dedialogue. Il est probable que vous ayez déjà effectué l'une des premières étapes.

1. activez ou faites activer l'accès externe par le port 445, le port de HTTPS ;2. utilisez les pages d'administration d'IPCop pour autoriser l'accès SSH, le

transfert TCP et l'accès externe par le port 222 ;3. créez un tunnel SSH entre la machine nomade et la machine interne tournant

un démon SSH par la commande :4. $ ssh -p 222 -N -f -L 12345:10.0.0.20:23 root@ipcop

-p 222

IPCop écoute les requêtes SSH sur le port 222, pas le port standard 22.

-N

Cette option, conjointement à -f, demande à SSH de se placer en tâche de fond sans seterminer. Si vous utilisez cette option, vous devrez vous rappeler de tuer le processusSSH pour le terminer. Vous pouvez aussi ajouter sleep 100 à la fin de la ligne decommande et supprimer l'option -N. Dans ce dernier cas, le SSH invoqué par lacommande ssh se terminera après 100 secondes sans que ni la session telnet, ni letunnel ne se ferment.

-f

Cette option permet de lancer SSH en tâche de fond.

-L



Ceci indique à SSH de monter un tunnel en transfert de port dont les paramètres sontdonnés à la suite.

12345

Il s'agit du port local à utiliser pour le tunnel vers le service distant. Il doit êtresupérieur à 1024 sans quoi vous devrez être root pour l'utiliser.

10.0.0.20

Ceci est l'adresse VERTE du serveur distant.

23

Il s'agit du port distant à utiliser. Cette valeur de port correspond au service telnet.

[email protected]

Et pour finir, ce paramètre indique que vous allez utiliser votre pare-feu IPCop commeagent de transfert de port. Vous devez disposer d'un identifiant pour vous logguer etseul l'identifiant root est disponible sur IPCop. Le mot de passe correspondant à cetutilisateur vous sera demandé.

5. Enfin, identifiez-vous auprès du service telnet distant en utilisant le tunnel.6. $ telnet localhost 12345

localhost est le nom de la machine que vous utilisez. L'adresse loopback127.0.0.1 correspond à localhost. 12345 est le port local du tunnel spécifié lorsde sa création.

Un tutoriel (en anglais) sur le transfert de port pour SSH est disponible chez DevShed.

Permettre l'authentification par mot de passe

Cette option permet d'autoriser les utilisateurs à s'identifier sur le serveur IPCop enutilisant le mot de passe root. Si vous décidez de ne pas autoriser cela, commencez par

configurer vos fichiers de clefs SSH et vérifiez attentivement que vous parvenez àvous identifiez avec ces clefs.

Permettre l'authentification par clef publique

En cochant cette case, SSH peut utiliser l'authentification par clef publique. Il s'agit dela méthode recommandée pour sécuriser votre IPCop vis-à-vis de l'accès SSH. Cetarticle (en anglais) discute de l'utilisation de SSH-keygen pour générer des clefs RSAet de la façon de les utiliser.

Clés d'hôtes SSH

http://www.devshed.com/c/a/Administration/Secure-Tunnelling-with-SSH/




http://open.itworld.com/4917/LWD010410sshtips/page_1.html







Cet encadré liste les empreintes des clefs d'hôtes utilisées par le SSH d'IPCop. Ellespermettent de vérifier que la session est bien ouverte depuis la bonne machine. À la premièreouverture de session depuis une machine, l'une des ces empreintes est affichée par SSH. Ilvous appartient alors de vérifier que l'empreinte affichée par SSH correspond bien à l'une desclefs affichées ici.

Page Interface Graphique

Cette page permet de contrôler le fonctionnement et l'apparence des pages d'administrationd'IPCop.

Après chaque modification il est nécessaire de presser le bouton Enregistrer.

Pour réinitialiser la configuration de l'interface graphique dans son état d'origine, utilisez lebouton Restaurer les paramètres par défaut puis pressez le bouton Enregistrer.

Figure 2.5. Configuration de l'interface graphique

Affichage

Autoriser le javascript . Les pages Web d'administration de la version 1.4.0 utilisent

largement Javascript pour en améliorer l'apparence et l'ergonomie. Cependant, certainsnavigateurs ne fonctionnent pas toujours correctement avec Javascript. Si cette case n'est pascochée, les menus déroulants de l'interface sont désactivés et les éléments qu'ils contiennentnormalement sont placés horizontalement en haut de chaque page.

Afficher le nom de la machine dans la barre de titre . En cochant cette case, le nom d'hôtede la machine IPCop est affiché en haut de chaque page. Si vous êtes chargé de lamaintenance de plusieurs machines IPCop, cela vous permet à tout moment d'identifier lamachine dont l'interface s'affiche dans le navigateur.

Rafraîchissement automatique de la page d'accueil . Par défaut la page d'accueil est mise à jour lorsque IPCop se connecte à l'Internet. Un clic sur le bouton Rafraîchir recharge cettepage avec la durée de connexion mise à jour.



En activant cette option, la page d'accueil est automatiquement rafraîchie toutes les 30secondes de sorte que la durée de connexion affichée est régulièrement mise à jour. De mêmesi la connexion est inactive, le message « En attente de connexion à la demande » apparaît.

Choisissez la langue que vous souhaitez voir IPCop utiliser . Cette liste déroulante vous

permet de spécifier, parmi les 34 langues disponibles, la langue utilisée par les pagesd'administration d'IPCop.

Vous avez aussi la possibilité de sélectionner cette langue durant l'installation. Cependant, ilpeut ne pas être disponible à l'installation. L'équipe de traduction d'IPCop espère en ajouter denouveaux grâce à l'appui de volontaires. L'ajout d'une nouvelle langue se fait lors d'une mise à

jour classique du système.

Évidemment, vous pouvez vouloir traduire par vous-même IPCop dans une autre langue. Pource faire, nous vous serions gré de commencer par contacter le Coordinateur des Traductionsd'IPCop, Eric Oberlander à l'adresse e-mail <[email protected]>. Il se

peut qu'une traduction soit déjà en cours pour cette langue. Reportez-vous au document IPCopHow To Translate (en anglais) pour de plus amples informations.

Bips d'avertissement

Bips de connexion/déconnexion . Par défaut, votre machine IPCop émet un signal sonorelors d'une connexion et le même signal doublé lors d'une déconnexion.

Pour un fonctionnement silencieux, décochez cette case.

Cette option ne concerne pas les mélodies de démarrage et d'arrêt de la machine.Page Sauvegarde

Version 1.4.11

La page Sauvegarde a subi une refonte complète. Parmi les changements introduits setrouvent :

la sauvegarde sur clé USB.pour des raisons de sécurité, l'abandon des sauvegardes non chiffrées.

l'exportation de la clé de sauvegarde backup.key.

La clé est protégée à l'aide du mot de passe de l'utilisateur « backup » pour laréinstallation et le fichier de clé inclut désormais le nom d'hôte.

l'ajout du nom d'hôte et de la date de sauvegarde dans le fichier backup.dat.

Avant de réinstaller, effacez cette date du nom du fichier de sauvegarde à utiliser.

Un champ vous permet d'ajouter un commentaire à chaque sauvegarde. Cecommentaire sera restauré au chargement de la sauvegarde.

l'amélioration de la sauvegarde sur disquette.

mailto:[email protected]

http://www.ipcop.org/index.php?module=pnWikka&tag=HowToTranslate






mailto:[email protected]



La taille réelle de la sauvegarde est indiquée. De même le processus vérifie que lataille de la sauvegarde ne dépasse pas la capacité du support. Enfin il affiche leserreurs rencontrées parmi lesquelles l'absence de disquette dans le lecteur ou unedisquette défectueuse.

Figure 2.6. Sauvegarde de la configuration

Sauvegarde de la configuration sur disquette

La partie haute de cet encadré de la page Sauvegarde vous permet d'effectuer une sauvegardede votre configuration sur disquette. La seule façon de restaurer une telle configurationconsiste à réinstaller votre IPCop depuis un CD-ROM ou depuis un serveur HTTP/FTP. Vousaurez très tôt dans le processus d'installation la possibilité de fournir cette disquette. Lesparamètres de configuration seront récupérés et l'installation se terminera.

Insérez une disquette dans le lecteur de la machine IPCop et cliquez sur le bouton Sauvegardesur disquette. Les paramètres de la configuration courante sont copiés sur la disquette. Leprocessus s'assure du bon déroulement de l'écriture.

Information



Tous les messages d'erreur et les différentes informations générées lors de l'opération decréation de la sauvegarde sont affichés dans la partie basse de l'encadré.

Sauvegarde dans des fichiers

Le reste de l'encadré vous permet de créer plusieurs jeux de sauvegardes et de sélectionner unsupport sur lequel transférer les fichiers ainsi créés. Le support par défaut est le disque dur dela machine IPCop mais d'autres supports amovibles tels que les clés USB sont reconnus.

Pour des raisons de sécurité, les sauvegardes créées à partir de la page Sauvegarde sontchiffrées avec le mot de passe de l'utilisateur « backup ». Saississez ce mot de passe dans lechamp Mot de passe de la sauvegarde et cliquez sur le bouton Exporter la clé de sauvegardepour récupérer la clé de sauvegarde. Cette clé est nécessaire pour installer depuis une clé USBou encore pour restaurer une configuration suite à une panne de disque dur.

Pendant la procédure d'installation d'IPCop, elle vous est demandée pour restaurer une

configuration depuis une sauvegarde.

Mot de passe de la sauvegarde

Vous devez indiquer dans ce nouveau champ le mot de passe de l'utilisateur « backup ». Avecune installation récente, vous avez déjà spécifié ce mot de passe. En revanche si l'installationest plus ancienne et progressivement mise à jour, vous devrez relancer le programme setuppour initialiser ce mot de passe.

Pour ce faire, ouvrez une session super utilisateur sur votre machine IPCop soit directement

depuis la console, soit par le réseau en SSH sur le port 222.Lancez le programme de configuration en tapant setup sur la ligne de commande.Sélectionnez Mot de passe 'backup' dans la liste et tapez le nouveau mot de passe. Celui-cidoit comporter au minimum 6 caractères. Quittez le programme et terminez la session.

Récupérer la clé de sauvegarde

Pour obtenir la clé de sauvegarde :

1. Initialisez le mot de passe de l'utilisateur « backup ».

2. Saisissez ce mot de passe dans le champ Mot de passe de la sauvegarde de la pageSauvegarde. En cliquant sur le bouton Exporter la clé de sauvegarde, la clé estexportée dans un fichier dont vous avez à choisir l'emplacement où l'enregistrer.

3. Créez et exportez le fichier d'extension .dat (il n'est pas nécessaire d'entrer le mot depasse « backup » pour cela).

Vous avez maintenant en votre possession tout le nécessaire pour installer etparamétrer à l'identique un nouveau système à partir d'une clé USB ou d'un serveurHTTP/FTP.

4. Transférez le fichier d'extension .dat, après avoir supprimer l'horodatage dans sonnom, ainsi que le fichier de clé sur le support d'installation (clé USB ou serveurHTTP/FTP). La restauration de la configuration ainsi sauvegardée est automatique à



l'installation à condition de fournir le mot de passe « backup » et le nom d'hôtecorrespondant aux données chiffrées dans le fichier .dat.

Page Arrêter

Cette page permet soit d'Arrêter soit de Redémarrer le serveur IPCop. Cliquez sur le boutoncorrespondant à l'action souhaitée et voilà. Il est aussi possible de planifier un redémarrage ouun arrêt à une certaine heure par la mise en place d'un « cronjob ».

Figure 2.7. Arrêt et planification des redémarrages

Pages de l'onglet État

Cet ensemble de pages vous donne des informations et des statistiques quant aufonctionnement de votre serveur IPCop. Pour y accéder, sélectionnez l'onglet État dans la

partie supérieure de l'écran. Les pages suivantes sont disponibles :

État du systèmeÉtat du réseauGraphiques systèmeCourbes de traficGraphes du proxyConnexions

Page État du système

Cette page rassemble un certain nombre de données utiles à l'évalutation de l'état actuel devotre serveur IPCop au travers des encadrés suivants :.

Services

Services - Affiche les services actuellement en fonctionnement.

Mémoire

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info-system-status

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info-network-status

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info-system-graphs

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info_traffic-graphs

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info_proxy-graphs

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info_connections

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info_connections

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info_proxy-graphs

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info_traffic-graphs

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info-system-graphs

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info-network-status

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s03.html#info-system-status



Mémoire - Renseigne sur le niveau d'utilisation de la mémoire et de la partition d'échange(swap) de votre serveur IPCop.

Utilisation du disque

Utilisation du disque - Informe de l'organisation en partitions du disque dur de votre machineIPCop et du niveau de remplissage de chacune.

Durée de fonctionnement et utilisateurs

Durée de fonctionnement et utilisateurs - Affiche la sortie de la commande uptime et liste lesutilisateurs actuellement connectés à votre IPCop.

Modules chargés

Modules chargés - Donne une liste des modules chargés et en cours d'utilisation par le noyauGNU/Linux.



Version du noyau

Version du noyau - Informe sur le noyau IPCop lui même.

Page État du réseau

En cours de rédaction...

Interfaces

Cet encadré affiche des informations sur toutes les interfaces réseau de votre machine IPCop.Y compris les interfaces de type PPP, IPSec, Loopback, etc.



Contenu en cours de vérification...

Baux DHCP en cours

Si le service DHCP est actif, cet ancadré reprend le contenu du fichier/var/state/dhcp/dhcpd.leases . Tous les baux actifs concédés par le serveur DHCPd'IPCop sont listés. Pour chaque entrée, la date d'expiration du bail est affichée de même quele nom de la machine si ce dernier est connu.

Les baux ayant expirés sont rayées.



Note

Cette page n'est visible que si le service DHCP a été activé. Voyez la section sur le serveurDHCP pour plus de détails.

Entrées de la table de routage


Entrées dans la table ARP


Page Graphiques système

En cliquant sur l'un des quatre graphiques (utilisation CPU, mémoire, swap et accès disque)de cette page, vous avez la possibilité de visualiser le relevé de la grandeur sur l'espace d'un

jour, une semaine, un mois et une année.

Page Courbes de trafic

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#services_dhcp








Cette page affiche un relevé des trafics traversant votre serveur IPCop.

Une courbe est disponible pour chaque interface réseau de votre IPCop (VERT, ROUGE,BLEU, ORANGE). Elle représente le relevé du trafic entrant et sortant pour cette interface.

En cliquant sur une courbe, vous obtenez une nouvelle page présentant le même relevé maissur l'espace d'un jour, d'une semaine, d'un mois et d'une année.

Note

Lors du développement de la version 1.4.0, il a été mis en évidence que l'outil rrdtool,utilisé pour créer les graphiques, n'était pas capable de gérer les caractères spéciaux ce qui

s'avère être gênant pour les langages dépendant du jeu de caractères UTF-8. C'est pourquoi,en attendant de trouver une solution, les textes sur les graphiques ne sont pas traduits.

Les courbes de trafic ne s'affichent pas

Ces courbes sont générées par un script lancé toutes les cinq minutes grâce à une tâche cron.Si elles ne s'affichent pas, vérifiez que l'heure de la machine est correcte et recherchez dans lasection cron des journaux systèmes les traces du fonctionnement du script. Si vous n'entrouvez pas, essayez de relancer le programme fcron en ouvrant une session super utilisateuret en exécutant la commande « fcrontab -z ».

Ou bien encore lancez manuellement le script makegraphs pour voir si il ne génère pas demessage d'erreur. Pour cela, ouvrez une session super utilisateur et exécutez « makegraphs »depuis la ligne de commande.

Les fichiers RRD (Round Robin Database) peuvent signaler un problème d'horodatage sil'horloge interne de votre machine IPCop a fait un saut important, en particulier s'il s'agit d'unretour dans le passé. Dans un tel cas, il peut être nécessaire de supprimer ces fichiers qui setrouvent dans le répertoire /var/log/rrd. Ils seront regénérés au lancement suivant del'utilitaire makegraphs mais les données antérieures auront été perdues.

Page Graphes du proxy



Cette page affiche le trafic via le serveur proxy ou serveur mandataire Web d'IPCop. Lapremière section donne la date et l'heure de création du graphique. Suivent le nombre delignes analysées, la durée de l'analyse et la vitesse d'analyse (en ligne par seconde). Enfin, les

dates et heures de début et de fin du graphique ainsi que le domaine (taille totale dugraphique) sont indiqués.

Ce graphique vous permet de contrôler le bon dimensionnement du serveur mandataire auregard de la charge à tenir.

Note

Les journaux d'évènements doivent être activés sur la page d'administration du serveurmandataire sans quoi les graphiques ne seront pas générés.

Connexions



IPCop utilise les fonctionnalités de Netfilter ou d'IPTables pour créer un pare-feu à état(stateful firewall). Ce type de pare-feu conserve une trace des connexions pour lesquelles desmachines des réseaux VERT, BLEU et ORANGE sont en jeu. Il utilise pour cela à la fois lesadresses IP source et destination des flux, les numéros de ports de même que l'état de laconnexion elle-même. Dès lors qu'une connexion mettant en jeu des machines protégées a été

établie, seuls sont autorisés à traverser le pare-feu IPCop les paquets TCP/IP cohérents avecl'état actuel de cette connexion .

L'encadré Suivi des connexions IPTables donne une liste des connexions connues d'IPTablesen entrée et en sortie de votre IPCop. Chaque connexion fait l'objet d'une entrée dans cetteliste. L'interface à laquelle appartient chacune des extrémités est représentée par un code decouleur fonction de son emplacement sur le réseau La légende de ce codage est rappelée enhaut de la page.

En cliquant sur une adresse IP de cette liste, vous lancez une recherche DNS inverse.

Les menus déroulants permettent de filtrer et classer les entrées de cette liste. Lerafraîchissement de l'affichage intervient après un clic sur le bouton ! à droite.

Arrêt

Utilisez l'un des boutons Redémarrer ou Arrêter pour immédiatement redémarrer ou arrêtervotre serveur IPCop.

Programmation des redémarrages d'IPCop

La possibilité de programmer les arrêts et redémarrages a été introduite avec la version 1.4.10.

Un « cronjob » est ajouté au crontab de l'utilisateur root. Pour un redémarrage régulier unefois par jour, sélectionnez l'heure depuis le menu déroulant et cochez le ou les jours de



semaine souhaités. Sélectionnez ensuite l'action souhaitée (Redémarrer ou Arrêter) avant depresser le bouton Enregistrer.

Enfin pour supprimer un redémarrage ou un arrêt programmé, décochez toutes les cases etpressez le bouton Enregistrer.

Pages de l'onglet Réseau

Page Connexion

Cette page se compose de cinq encadrés distincts qui ne vous seront utiles que si vous accédezà l'Internet par un modem analogique, un dispositif RNIS ou une connexion DSL.

Notez que vous ne pouvez pas choisir ou modifier un profil lorsqu'une connexion est activeou en cours d'établissement. Avant de vous servir de cette page, vérifiez l'état de connexion devotre IPCop en vous rendant sur la page d'accueil de l'interface d'administration. Si cette pageaffiche Connecté ou En cours de connexion, vous devez commencez par cliquer sur le boutonDéconnexion avant de revenir sur la page précédente. Après avoir paramètré ou sélectionnéun profil, retournez sur cette page d'accueil et utilisez le bouton Connexion pour rétablir uneconnexion à l'Internet.

Profils. Cet encadré vous permet de nommer et ajouter de nouveaux profils de connexion(dans la limite de cinq), de supprimer un profil ou bien encore de modifier les paramètres d'unprofil particulier.

Sélectionnez un profil à créer ou à modifier dans la liste déroulante. Complétez ou modifiezles paramètres pour ce profil à l'aide des autres encadrés de cette page (voir ci-dessous) avantde cliquer sur le bouton Enregistrer. Pour indiquer le profil par défaut, c'est à dire le profil quisera utilisé lors des futures connexions à l'Internet, choisissez-le dans la liste déroulante etcliquez le bouton Sélectionner en bas de page. Le bouton Restaurer permet quant à lui derétablir les paramètres sauvegardés d'un profil.

Connexion. Cet encadré vous permet de :

1. sélectioner l'Interface appropriée à votre connexion à Internet. Pour un modemanalogique ou une carte ISDN, choississez le port de communication adapté (COM1 -

COM4). Pour les connexions de type DSL, l'interface doit être de type PPPoE.



2. choisir le Débit des données de l'ordinateur au modem. Ce paramètre fixe la vitesse detransfert entre votre machine IPCop et le périphérique de connexion. Avec dessystèmes ou des modems un peu anciens, il peut être nécessaire de spécifier un débitassez faible pour garantir une communication fiable entre l'ordinateur et le modem.

3. entrer le Numéro de téléphone fourni par votre fournisseur d'accès. Avec une

connexion de type PPPoE, ce champ sera vraisemblablement laissé vide.4. choisir ou non de laisser le Haut-parleur du modem actif. Vous pourrez entendre lanégociation de la connexion entre votre machine et votre fournisseur d'accès si vouscochez cette case, ce qui peut vous aider à diagnostiquer un éventuel problème. Cetteoption n'est utile que si vous posséder une connexion à l'Internet par modemanalogique.

5. choisir le Mode d'appel. Utilisez l'appel par tonalité sauf si votre ligne téléphonique nereconnaît qu'une numérotation par impulsion. Cette dernière est sensiblement pluslente que la numérotation par tonalité.

6. indiquer le Nombre maximum d'essais avant l'abandon de la tentative. Ceci correspondau nombre de fois qu'IPCop essaiera de se connecter à l'Internet après une première

tentative restée vaine.7. spécifier la Durée maximale d'inactivité. Cette valeur permet à IPCop de décider que

faire de votre connexion à l'Internet lorsque rien n'est ni envoyé ni reçu. Dans un telcas, IPCop attendra cette durée avant de clore la connexion automatiquement. Enfixant ce champ à 0, vous empêchez IPCop de fermer la connexion de lui-même.

8. demander une connexion Persistante pour faire en sorte qu'IPCop maintienne uneconnexion même en l'absence d'activité sur le lien. Dans ce mode, IPCop essayera dese reconnecter chaque fois que la connexion est coupée, quelle qu'en soit la raison.Soyez prudent avec cette option : si vous payez votre abonnement au temps deconnexion, vous souhaiterez très probablement la laisser inactive. En revanche avecune connexion à temps illimité (souvent appelée "flatrate"), elle vous servira àmaintenir active votre connexion. Notez que même en mode persistant, IPCop cesseratoute tentative dès lors que leur nombre atteint la valeur du champ nombre maximumd'essais. Auquel cas il est nécessaire d'utiliser le bouton Connexion de la paged'accueil de l'interface d'administration.

9. demander une Connexion sur demande. Après avoir choisi ce mode de connexion vousdevez utiliser une dernière fois le bouton Connexion de la page d'accueil de l'interfaced'administration avant qu'IPCop s'en charge pour vous dès lors qu'il détectera uneactivité. Ce mode n'est pas disponible pour les connexions de type PPPoE.

10. faire en sorte qu'IPCop établisse une Connexion sur requête DNS c'est à dire lorsqu'ilreçoit une reguête de résolution de nom. Il s'agit le plus souvent du comportement

espéré par l'utilisateur.11. permettre à IPCop de lancer automatiquement une connexion après un redémarrage sile mode Connexion à la demande n'a pas été activé. Et même dans le cas contraire, ilpeut être intéressant d'utiliser cette option. Elle permet en effet, avec l'ensemble deséléments de configuration, de placer le système IPCop dans le mode d'attente d'uneconnexion à la demande à chaque démarrage ou redémarrage de la machine.

12. faire en sorte que votre modem émette un retour chariot pour signaler à votre FAI unefin de transmission. Si tel est le cas, laissez cochée la case Un retour chariot (CR) estrequis par le FAI. Sinon vous pouvez décocher cette case. Par défaut elle est cochée.

Configuration avancée PPPoE - si le mode de connexion est PPPoE ou ADSL USB, vous

trouverez, dans cet encadré, des éléments spécifiques de configuration. Parmi ceux-ci deuxparamètres, le nom du service et le nom du concentrateur qui peuvent être nécessaires à votre



FAI. Laissez vide ces champs si votre FAI n'en a pas besoin ou s'il ne vous les a pascommuniqué. Avec une connexion USB ADSL, votre FAI doit vous transmettre deux valeurs,VPI et VCI, que vous devez entrer dans les champs correspondants.

Authentification . Les champs Nom d'utilisateur et Mot de passe vous permettent de saisir

les identifiants fournis par votre fournisseur d'accès lors de l'abonnement. Il existe plusieurstechniques d'authentification auprès d'un FAI préalable à une connexion. Les plus communessont les méthodes par PAP et CHAP. Sélectionnez celle que votre FAI utilise. Si il utilise unscript de connexion, choississez plutôt script d'identification standard dans la liste. Pour lesrésidents du Royaume-Uni qui ont pour FAI Demon Internet, un script spécial a été écrit.L'option autre script d'identification est réservée aux personnes dont le FAI a des besoinsparticuliers. Si tel est votre cas, vous devrez vous identifier sur la machine IPCop et créer unfichier dans /etc/ppp. Son nom doit être reporté dans le champ nom du script. Ce fichier doitcontenir des paires sur le format 'attend envoie' avec le caractère de tabulation en séparateur.Dans ce fichier, les chaînes USERNAME et PASSWORD sont remplacées respectivement par lenom d'utilisateur et le mot de passe. Vous pouvez prendre le fichier demonloginscript du

répertoire /etc/ppp en exemple et le modifier pour vos besoins.

DNS . Choisissez Automatique si votre FAI supporte la configuration automatique desserveurs DNS, ce qui est fréquemment le cas aujourd'hui. Sinon vous devrez sélectionnerManuel et indiquer les adresses des serveurs DNS primaire et DNS secondaire dans champs àdroite. Ces adresses vous ont été communiquées par votre FAI.

Figure 2.8. Paramétrages PPP



Page Chargement

Vous devez utiliser cette page pour transférer des pilotes matériels ou firmwares sur votreIPCop. Ces firmwares sont nécessaires au support par IPCop de certains modems.

Figure 2.9. Chargement des firmwares des modems



Télécharger Speedtouch USB pilote matériel . Cet encadré vous permet de transférer survotre IPCop le fichier mgmt.o nécessaire aux modems USB Speedtouch. Le modem ne

fonctionnera pas tant que cette manipulation n'aura pas été réalisée.Les modems Speedtouch Revision 4 nécessitent un fichier particulier (ZZZL_3.012) et lesmodèles antérieurs un fichier différent (KQD6_3.012 pour les modèles Revision 1 et Revision2).

Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez le fichiersur votre machine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dansl'arborescence de votre machine. Ceci fait, cliquez le bouton Chargement KQD6_3.012 pourtransférer le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem ADSLUSB pour vous connecter à l'Internet.

Télécharger ECI ADSL Synch.bin pilote matériel . Cet encadré vous permet de transférersur votre IPCop le fichier synch.bin nécessaire aux modems ECI ADSL. Le modem nefonctionnera pas sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote,récupérez et enregistrez le fichier sur votre machine cliente. Cliquez sur le bouton Browse... etsélectionnez le fichier dans l'arborescence de votre machine. Ceci fait, cliquez sur le boutonTransférer synch.bin pour transférer le fichier sur votre IPCop. Vous pouvez alors vous servirde votre modem ECI ADSL pour vous connecter à l'Internet.

Télécharger Fritz!DSL pilote matériel . Cet encadré vous permet de transférer sur votreIPCop le fichier fcdsl.o nécessaire aux modems Fritz!DSL. Le modem ne fonctionnera passans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, récupérez etenregistrez le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et



sélectionnez le fichier dans l'arborescence de votre machine. Ceci fait, cliquez sur le boutonTransférer fcdsl.o pour transférer le fichier sur votre IPCop. Vous pouvez alors vous servir devotre modem Fritz!DSL pour vous connecter à l'Internet.

Page Modem

Configuration du Modem . Cet encadré ne vous est utile que si vous utilisez un modemanalogique pour vous connecter à l'Internet. Les valeurs par défaut de ces champs conviennentpour la plupart des modems analogiques. Cependant, si vous rencontrez des problèmes deconnexion, comparez ces valeurs à celles indiquées dans le manuel utilisateur de votremodem. Aucun de ces champs n'est obligatoire.

Initialisation - Ce champ est pré-rempli avec la chaîne standard d'initialisation des modemscompatibles Hayes. S'il s'avère que votre modem exige un paramétrage particulier, modifiezcette chaîne.

Déconnexion - Ce champ contient par défaut la chaîne standard des modems compatiblesHayes provoquant la déconnexion. Cependant, si votre modem utilise une autre chaîne, éditezce champ.

Haut parleur activé - Ce champ contient par défaut la chaîne standard des modemscompatibles Hayes provoquant l'activation du haut-parleur. Si votre modem utilise une autrechaîne, éditez ce champ.

Haut parleur désactivé - Ce champ contient par défaut la chaîne standard des modemscompatibles Hayes désactivant le haut-parleur. Si votre modem utilise une autre chaîne, éditez

ce champ.Appel par tonalité - Ce champ contient par défaut la chaîne standard des modems compatiblesHayes de numérotation par tonalité. Si votre modem et votre ligne téléphonique le permettentmais que vous rencontrez des problèmes à la connexion, assurez-vous de la compatibilité decette chaîne avec votre modem.

Appel par impulsion - Ce champ contient par défaut la chaîne standard des modemscompatibles Hayes de numérotation par impulsion. Typiquement, vous n'avez pas à lamodifier mais si votre ligne téléphonique ne supporte pas la numérotation par tonalité,assurez-vous de la compatibilité de cette chaîne avec votre modem.

Durée maximale pour l'établissement de la connexion - Il s'agit du seul champ de cet encadréqui doit être renseigné. Sa valeur, exprimée en secondes, indique la durée pendant laquelleIPCop doit maintenir sa tentative de connexion. Une fois ce délai écoulé, IPCop abandonnecette tentative avant d'en relancer une nouvelle. La valeur par défaut convient dans la plupartdes cas. Mais si vous remarquez que la connexion est perdue en plein milieu de la phase denégociation (activez le haut-parleur du modem pour entendre cette négociation), essayezd'augmenter légèrement cette durée jusqu'à ce que la connexion s'établisse sans problème.

Figure 2.10. Paramétrage Modem



Page Configuration alias externes

Note

Cette page n'apparaît que si votre interface ROUGE est configurée en adresse IP fixe.

Dans certains cas, votre FAI peut vous fournir une plage d'adresses IP pour votre réseau.

Si vous avez plusieurs adresses IP , seulement, alors vous pouvez connecter plusieurs stationsde travail à Internet, vous n'aurez plus besoin des adresses supplémentaires. IPCop devrait seconnecter directement à votre modem ou à Internet.

D'une autre manière, si vous fournissez un serveur sur l'un de vos ordinateurs internes vousavez besoin d'utiliser de multiples alias sur votre interface RED. Pour utiliser éfficacementceci, vous devez modifier en conséquence la table de routage d'IPCop à la main.

Figure 2.11. Paramétrages des alias externes

Ajouter un nouvel alias. partie en cours de rédaction...



Une fois les champs renseignés, cochez la case Activé avant d'appuyer sur le bouton Ajouter.Le nouvel alias est alors pris en compte et se retrouve ajouté à la liste des alias enregistrés quiest affichée dans l'encadré suivant.

Alias actuels . Cet encadré fournit une liste des alias enregistrés. Pour supprimer l'un d'eux,

cliquez sur l'icône représentant une « poubelle » associé à cet alias. Pour éditer, utilisez plutôtl'icône représentant un « crayon ».

Pour activer un alias, cochez la case de l'entrée correspondante dans cette liste. L'alias estdésactivé lorsque la case est vide.

Pages de l'onglet Services

En plus de fournir les services de base d'un pare-feu, IPCop propose un certain nombred'autres fonctionnalités souvent utiles à un petit réseau. Elles sont facilement administrables

depuis les pages accessibles par l'onglet État, pages décrites par la suite.

IPCop permet ainsi d'ajouter à votre réseau :

un serveur proxy (serveur mandataire Web)un serveur DHCP la gestion de DNS dynamique la possibilité d'éditer les hôtes (serveur DNS local)un serveur de temps une fonction de lissage du trafic un système de détection d'intrusion (IDS).

Pour un réseau plus important, ces services seront probablement fournis par une infrastructuredédiée. Par conséquent il vous faudra désactiver les services équivalents proposés par IPCop.

Page Serveur mandataire (proxy)

Un proxy ou serveur mandataire Web est un programme qui effectue les requêtes de pagesWeb à la place des machines de votre Intranet. Il sauvegarde les pages récupérées, de sorteque si plusieurs machines demandent la même page, un seul accès à Internet est nécessaire. Sivotre organisation utilise fréquemment les mêmes sites, il vous permet d'économiser les accèsà Internet.

Normalement, vous devez configurer les navigateurs Web des machines de votre réseau pouraccéder à l'Internet via le proxy. En lieu et place du couple nom/adresse du proxy, vous devezmettre celui de votre IPCop. Vous devez aussi reporter dans la configuration de vos machinesclientes le numéro de port indiqué dans le champ Port serveur mandataire de cet encadré. Cefaisant, il reste possible de passer outre le proxy. Mais vous pouvez aussi faire le fonctionneren mode « transparent » : aucune configuration au niveau des navigateurs n'est nécessaire et lepare-feu redirige automatiquement tout le trafic du port 80 - le port HTTP standard - vers leproxy.

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#services_webproxy




http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#services_dyndns


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#services_hosts


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#services_time


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#services_shaping


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#services_ids











Vous pouvez activer ce service pour le réseau VERT (réseau local), et/ou pour votre réseauBLEU (Wifi). Cochez simplement la case correspondante.

Journaux activés. Si vous avez activé le serveur mandataire, vous pouvez choisird'enregistrer les accès Web en cochant la case Journaux activés. Les traces de ces accèspeuvent alors être visualisées en sélectionnant Journaux du serveur mandataire dans l'ongletJournaux.

Si vous décidez d'activer le serveur proxy, les accès Web peuvent être tracés en cochant lacase Journaux activés. Les accès réalisés via le proxy sont alors consultables sur la pageJournaux du serveur mandataire accessible depuis l'onglet Journaux.

Si votre Fournisseur d'Accès Internet (FAI) impose l'utilisation de son serveur proxy,spécifiez son nom et son numéro de port dans les champs relatifs au serveur mandataire

distant. Pour les cas où une identification est nécessaire, vous pouvez indiquez votre nomd'utilisateur et votre mot de passe respectivement dans les champs Nom d'utilisateur duserveur mandataire distant et Mot de passe du serveur mandataire distant.

Votre liste extension_methods. Squid ne reconnaît que les méthodes standards de requêteHTTP. Les méthodes inconnues sont bloquées à moins d'être présentes dans la listeextension_methods . Vous pouvez indiquer ici pas moins de 20 méthodes supplémentaires.

Par exemple, subversion fait usage de méthodes non standards normalement bloquées parSquid. Pour permettre à subversion de traverser le serveur mandataire transparent d'IPCop,

vous devez ajouter REPORT, MKACTIVITY, CHECKOUT et MERGE à cette listeextension_methods .

http://subversion.tigris.org/






Rejeter le proxying vers les réseaux BLEU/VERT. Check this option to disable proxyingto green and blue networks (if blue is available). This closes a possible hole between Greenand Blue if they are run in « transparent » mode. [1]

ou indiquer une liste de destinations (IP) interdites d'accès par le proxy. Cette option

vous assure une plus grande flexibilité en énumérant les réseaux destinations pour lesquels latraversée du proxy doit être refusée. Vous avez la possibilité d'identifier un voire plusieursréseaux complets en renseignant une adresse IP et un masque réseau, par exemple :192.168.3.0/255.255.255.0 .

Gestion du Cache. Dans cette section, vous sélectionnez la quantité d'espace disque allouéeau cache des pages Web. Vous avez également la possibilité d'indiquer les tailles minimale etmaximale des objets à mettre en cache. La première est en générale égale à 0. La seconde estpar défaut fixée à 4096ko. Pour des raisons de confidentialité, le proxy ne met pas en cacheles pages reçues via https ou celles nécessitant une authentification par nom d'utilisateur etmot de passe transmis dans l'URL.

Réparer le cache. En cas de nécessité, vous pouvez réparer le cache en cliquant sur lebouton Réparer le cache.

Vider le cache. Il est possible à tout moment de vider le contenu du cache en utilisant lebouton Vider le cache.

Limites de transfert. Le proxy Web peut aussi servir à contrôler les accès Web de vosutilisateurs. Le seul élément de contrôle disponible depuis l'interface d'administration est lataille maximum des données reçues ou envoyées sur le Web. Vous pouvez utiliser ces valeurs

pour empêcher vos utilisateurs de télécharger de gros fichiers et ainsi trop consommer debande passante. La valeur par défaut pour ces champs est 0 et signifie qu'il n'y a pas derestriction sur la taille des tranferts.

Enregistrer. Pour sauvegarder les changements de configuration, appuyez sur le boutonEnregistrer.

Avertissement

Le cache du proxy peut occuper beaucoup d'espace sur votre disque. La taille minimale dedisque indiquée dans la documentation d'IPCop ne tient pas compte de l'espace alloué à ce

cache.

Plus le cache est gros, plus le proxy aura besoin de mémoire pour gérer ce cache. Ainsi sivous avez une machine disposant de peu de mémoire, ne définissez pas un cache proxy tropimportant.

Page Serveur DHCP

DHCP (Protocole de configuration dynamique des serveurs) vous permet de contrôler laconfiguration réseau de toutes vos machines depuis votre serveur IPCop. Dès qu'une machinese connecte à votre réseau, elle reçoit une adresse IP valide et ses configurations DNS etWINS sont établies automatiquement. Pour cela, il faut que chaque machine soit configuréepour interroger un serveur DHCP et obtenir ainsi sa configuration réseau.

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#ftn.aide_traduction_squid_20090611






Vous pouvez activer ce service pour le réseau VERT (réseau local), et/ou pour votre réseauBLEU (Wifi). Cochez simplement la case correspondante.

Pour une explication détaillée sur le DHCP, vous pouvez lire l'article (en anglais) sur LinuxMagazine : « Network Nirvana - How to make Network Configuration as easy as DHCP ».

Paramètres du serveur DHCP

Les paramètres DHCP suivants peuvent être configurés depuis la page Web :

Activé. Cochez cette case pour activer le serveur DHCP sur cette interface.

Adresse IP/Masque réseau. L'adresse IP et le masque réseau de l'interface à laquelle cette

configuration doit s'appliquer sont rappelés ici pour référence.

Adresse de départ (optionnelle). Vous pouvez spécifier la plage d'adresses IP que le serveurpourra attribuer aux machines qui en font la demande Le comportement par défaut est lagestion de l'ensemble des adresses du réseau par le serveur DHCP. Si vous avez des machinessur votre réseau qui n'utilisent pas le DHCP et qui ont des adresses mises à la main, vousdevez faire en sorte que la plage d'adresses gérées par DHCP ne rentre pas en conflit avec cesadresses.

Vous devez aussi vous assurer que les adresses associées à des baux fixes (voir plus loin) nesont pas comprises dans cette plage.

http://www.linux-mag.com/2000-04/networknirvana_01.html






Adresse de fin (optionnelle). Ce champ définit l'adresse de fin de la plage d'adressesdiscutée précédemment.

Note

Pour permettre au serveur DHCP d'attribuer des baux d'adresses fixes mais pas dedynamiques, laissez les deux champs Adresse de départ et Adresse de fin vides. Par contre sivous indiquez une adresse de départ vous devrez indiquer une adresse de fin et vice versa.

Base IP utilisée pour création des bail fixes (optionnelle). La possibilité d'ajouter des bauxfixes depuis la liste des baux dynamiques a été introduite avec la version 1.4.12.

Vous pouvez indiquer une adresse IP à utiliser comme adresse de base pour les nouveauxbaux fixes.

Durée du bail par défaut. Ce champ peut garder sa valeur par défaut sauf si vous avezbesoin d'indiquer une autre valeur. Il correspond à la durée pendant laquelle une attributiond'adresse IP est valide. Avant que son bail n'arrive à terme, une machine en demande lerenouvellement en indiquant son adresse actuelle. Si des éléments de configuration DHCP ontété modifiés depuis l'obtention du dernier bail, ils sont propagés à la machine cliente. En règlegénérale, les baux sont renouvellés par le serveur.

Durée maximale du bail. Vous pouvez laisser la valeur par défaut, sauf si votreconfiguration nécessite un réglage particulier. Cette valeur correspond à la durée pendantlaquelle le serveur DHCP honore les requêtes de renouvellement des clients pour leur adresseIP courante. Passé ce délai, les adresses IP des clients sont changées par le serveur. Si la plage

d'adresses IP dynamiques a changé, le serveur fournit une adresse IP dans cette nouvelleplage.

Suffixe de nom de domaine (optionnel). Le suffixe ne doit pas commencer par un point.Indiquez dans ce champ le nom du domaine que le serveur DHCP doit transmettre aux clients.Si une recherche d'un nom de machine échoue, le client essayera de nouveau en rajoutant cenom de domaine au nom d'origine. Certains serveurs DHCP de fournisseurs Internet (FAI)ajoutent automatiquement leur nom de domaine par défaut, de sorte qu'il est possible de taper« www » comme adresse de page d'accueil dans le navigateur Web. Bien que « www » ne soitpas un nom pleinement qualifié, votre ordinateur rajoutera le nom de domaine fourni par votreFAI (en fait par son serveur DHCP) en suffixe, créant ainsi un nom pleinement qualifié

(FQDN). Si vous voulez que vos utilisateurs continuent à utiliser la notation simple « www »,reportez dans ce champ le suffixe de domaine de votre FAI.

Autoriser les clients bootp. Cochez cette case pour permettre aux clients BOOTP d'obtenirun bail sur cette interface réseau. Par défaut le serveur DHCP d'IPCop ignore les paquets derequête du Bootstrap Protocol (BOOTP).

DNS Primaire. Le service DHCP va indiquer aux machines clientes quel est le serveur DNSprincipal. Comme IPCop inclut un proxy DNS, vous voudrez probablement laisser ce champ àsa valeur par défaut : le serveur primaire DNS du réseau est votre serveur IPCop. Si vouspossédez votre propre serveur DNS, vous pouvez indiquer son adresse ici.



DNS Secondaire (optionnel). Vous pouvez aussi founir l'adresse d'un serveur DNSsecondaire utilisé en cas d'indisponibilité du serveur primaire. Il peut s'agir d'un autre serveurlocal ou d'un serveur chez votre FAI.

NTP primaire (optionnel). Si vous faîtes de votre IPCop un serveur NTP ou si vous voulez

communiquer à chaque client l'adresse d'un autre serveur NTP, indiquez son adresse IP dansce champ. Le serveur DHCP se charge alors de la transmettre à toutes les machines clientes.

NTP secondaire (optionnel). Si vous avez l'adresse d'un second serveur NTP, indiquez-laici. Le serveur DHCP se charge alors de la transmettre à toutes les machines clientes.

WINS primaire (optionnel). Si vous possédez un réseau Windows avec un serveur de nomWindows (serveur WINS) primaire, vous pouvez indiquer son adresse IP dans ce champ. Elleest alors communiquée par le serveur DHCP à tous les clients lors de l'obtention de leurconfiguration réseau.

WINS secondaire (optionnel). Si votre réseau dispose d'un serveur WINS secondaire, vouspouvez indique son adresse IP dans ce champ. Elle est alors communiquée par le serveurDHCP à tous les clients lors de l'obtention de leur configuration réseau.

Les changements deviennent effectifs après l'appui sur le bouton Enregistrer.

Liste des options DHCP

Cet encadré vous permet de spécifier des paramètres additionnels à distribuer au réseau par leserveur DHCP. Cette fonctionnalité a été ajoutée avec la version 1.4.6.

Figure 2.12. Options additionnelles DHCP

Les champs de cet encadré permettant l'ajout de paramètres additionnels à la configuration debase du serveur DHCP sont :

Nom de l'option. Vous indiquez ici le nom de l'option DHCP ici, par exemple : smtp-server ou tcp-keepalive-interval .



Valeur. La valeur à assigner à l'option dont vous venez d'indiquer le nom. Suivant l'option, ilpeut s'agir d'une chaîne de caractères, d'un entier, d'une adresse IP ou d'un drapeaud'activation/désactivation.

Les formats suivants sont disponibles : boolean, integer 8, integer 16, integer 32, signed

integer 8, signed integer 16, signed integer 32, unsigned integer 8, unsigned integer 16,unsigned integer 32, ip-address, text, string, array of ip-address.

Par ailleurs la version 1.4.12 a introduit les formats supplémentaires suivant : array of integer8, array of integer 16, array of integer 32, array of signed integer 8, array of signed integer 16,array of signed integer 32, array of unsigned integer 8, array of unsigned integer 16, array of unsigned integer 32.

Portée de l'option (optionnel). Par défaut une option possède une portée globale. Vouspouvez réduire sa portée effective en cochant une ou plusieurs des cases voisines, auquel casl'option ne s'appliquera qu'aux interfaces dont la case est cochée.

Activé. En cochant cette case vous autorisez le serveur DHCP à prendre en compte l'option.Dans le cas contraire, l'option n'est que sauvegardées dans la configuration d'IPCop sans êtrerépercutée dans celle du serveur DHCP.

Ajouter. Ce bouton permet d'ajouter l'option à la configuration du service.

Syntaxe. Cliquez sur ce bouton pour afficher une liste des options et des valeurs permises.

Note

Par exemple, pour ajouter l'option « ldap-server » (code 95) à la liste, commencez par ajouterune option DHCP de nom ldap-server et de valeur code 95=string (une espace entre« code » et « 95 », pas d'espace ni avant ni après le signe « = »).

Vous avez ainsi créé une nouvelle option avec pour Nom de l'option ldap-server, pourValeur code 95=string et pour Portée de l'option Définition d'option.

Vous pouvez maintenant ajouter l'option « ldap-server », comme vous l'auriez fait avecn'importe laquelle des options DHCP d'origine, avec le nom : ldap-server et la valeur :"ldap://some.server/dc=foo,dc=bar" .

Baux fixes

Si vous possédez des machines que vous souhaitez gérer de manière centraliser tout en leurattribuant une adresse IP fixe, vous pouvez indiquer à votre serveur DHCP de leur assignerune adresse IP constante. Chaque machine est alors identifiée auprès du serveur DHCP parl'adresse MAC de sa carte réseau.

Ceci est différent d'une gestion manuelle de la configuration réseau de la machine puisquecette dernière continue à contacter le serveur DHCP pour obtenir son adresse et tous lesparamètres que vous avez renseignés précédemment.

Figure 2.13. Ajout d'un nouveau bail fixe



Ajouter un nouveau bail d'adresse IP fixe. Vous pouvez indiquer les paramètres suivantpour des adresses IP fixes :

Activé. Cochez cette case pour autoriser le serveur DHCP à concéder ce bail à la machinecorrespondante lorsqu'elle en fait la demande. Les paramètres d'une entrée inactive sontconservés par IPCop mais le serveur DHCP ne répond pas aux demandes.

Adresse MAC (optionnel). les six octets de l'adresse MAC identifiant la machine àconfigurer. Les octets sont séparés par le signe deux point ':'.

En l'absence d'adresse MAC, le serveur DHCP essaye d'assigner un bail fixe à partir du nomd'hôte ou du nom de domaine pleinement qualifié (FQDN) du client.

À l'inverse si elle est spécifiée et si vous indiquez un nom d'hôte dans le champ Hostname orFQDN, le serveur DHCP fournit ce nom de d'hôte au client.

Avertissement

Le format de l'adresse MAC est xx:xx:xx:xx:xx:xx et non xx-xx-xx-xx-xx-xx commecertaines machines l'indiquent. Un exemple correct : 00:e5:b0:00:02:d2.

Il est possible d'assigner plus d'un bail d'adresse IP fixe à une même machine pour autant queles adresses IP soient sur des sous-réseaux différents. Les adresses dupliquées sont mises enévidence par des lignes en caractères gras dans le tableau.

Adresse IP. l'adresse IP à donner par le serveur DHCP à la machine identifiée par l'adresseMAC ci-dessus. Ne pas utiliser une adresse IP de la plage d'adresses dynamiques.

Il est possible d'indiquer une adresse IP n'appartenant pas au réseau local. Dans ce casl'adresse IP concernée est affichée dans la table sur fond orange.



Hostname or FQDN (optionnel). Le client se verra remettre un nom d'hôte, ou dans le casd'un nom de domaine pleinement qualifié (FQDN), un nom d'hôte et un nom de domaine siune adresse MAC est aussi fournie. Dans le cas où le champ Adresse MAC est laissé vide, leserveur DHCP essayera d'assigner un bail fixe à partir du nom d'hôte ou du nom de domainepleinement qualifié du client en se servant de l'option dhcp-client-identifier .

Remarque (optionnel). une ligne de commentaire libre sur la machine bénéficiaire del'adresse.

Adresse du routeur IP (optionnel). Pour les baux fixes, le serveur peut fournir au clientl'adresse d'un routeur (passerelle) qui n'est pas l'adresse de la machine IPCop.

Serveur DNS (optionnel). Le serveur indique au client un serveur DNS différent du ou desserveurs DNS configurés dans la section DHCP.

Préciser les options bootp/pxe pour ce bail. Certaines machines de votre réseau peuvent

servir de clients dits légers utilisant un fichier de démarrage récupéré depuis un serveurparticulier.

next-server (optionnel). l'adresse du serveur à contacter.

filename (optionnel). le nom du fichier de démarrage pour cette machine.

root-path (optionnel). le chemin complet vers le fichier précédent sur le serveur si il n'estpas dans le répertoire par défaut.

Réservations DHCP fixesLes réservation d'IP fixes gérées par le serveur DHCP sont listées dans la partie inférieure decet encadré. Ce même encadré permet en outre d'éditer, d'activer/désactiver ou bien encore desupprimer chaque réservation.

Il est possible de trier cette liste des baux fixes en cliquant sur les en-têtes de colonne AdresseMAC ou Adresse IP. Un second clic sur un même en-tête inverse le critère de classement.

Figure 2.14. Liste des baux fixes



Pour éditer une réservation, cliquez sur son icône représentant un crayon. Ses paramètres seretrouvent affichés dans l'encadré Modifier un bail existant au dessus et l'entréecorrespondante dans la liste est surlignée en jaune. Utilisez le bouton Mise à jour pourenregistrer les éventuelles modifications.

En cliquant sur l'icône représentant une poubelle, vous supprimez la réservation

correspondante.

Baux dynamiques en cours

Si le serveur DHCP est actif, cette section affiche les détails des baux dynamiques concédéspar le serveur qui se trouvent listés dans le fichier /var/state/dhcp/dhcpd.leases .L'adresse IP, l'adresse MAC, le nom de machine (si disponible) et la date d'expiration pourchaque enregistrement sont présentés. Les entrées sont classées par adresse IP.

Il est possible de trier cette liste des baux dynamiques en cliquant sur l'un des quatre en-têtesde colonne soulignés. Un second clic sur un même en-tête inverse le critère de classement.

Au besoin, il est facile d'effectuer un copier/coller d'une adresse MAC de cet encadré verscelui permettant de définir un bail d'IP fixe.

Figure 2.15. Baux dynamiques en cours

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#add_dhcp_lease






Depuis la version 1.4.12, il est possible d'ajouter des baux fixes directement depuis la liste desbaux dynamiques. En relation avec le champ Base IP utilisée pour création des bail fixes,vous pouvez cocher une ou plusieurs des cases de la liste avant de cliquer sur le bouton Créer

les réservations pour ajouter rapidement les machines concernées à la liste de cellesbénéficiant d'un bail fixe.

Les baux ayant expirés sont « rayés ».

Messages d'erreur

Une fois le bouton Ajouter cliqué, un message peut apparaître en haut de la page si une erreura été détectée lors de l'analyse des paramètres de configuration.

Page DNS Dynamique

Le DNS dynamique (DYNDNS) vous permet de rendre votre serveur accessible par Internetmême si vous ne disposez pas d'une adresse IP fixe. Pour ce faire, vous devez enregistrer unsous-domaine chez l'un des nombreux fournisseurs de service DYNDNS. Ensuite, dès lorsqu'IPCop se connecte à l'Internet et se voit assigner une adresse IP par le FAI, il en informe leservice de DYNDNS. Lorsqu'une machine cliente demande à accéder à votre serveur, lademande de résolution du nom est prise en charge par le serveur DYNDNS qui renvoie votredernière adresse IP connue. Le client a désormais la possibilité de contacter directement votreserveur (sous réserve que votre configuration l'autorise). IPCop peut se charger de la mise à

jour de vos informations en effectuant automatiquement les mises à jour nécessaires auprès dedifférents services de DYNDNS.

Figure 2.16. Paramètres du DNS dynamique



Ajouter un hôte

Les élements suivants sont demandés lors de l'ajout d'un hôte :

Service. Sélectionnez dans la liste déroulante le nom du fournisseur de service DNSdynamique. Vous devez déjà posséder un compte chez ce fournisseur.

Derrière un serveur mandataire (proxy). Cette case doit être cochée si vous utilisez leservice no-ip.com et si votre IPCop se trouve derrière un serveur mandataire. Pour tous les

autres services, l'état de cette case est ignoré.

Activer les jokers. En activant les jokers, vous faites pointer tous vos sous-domaines vers lamême adresse IP que votre nom d'hôte (par exemple, en cochant la case,www.ipcop.dyndns.org pointera vers la même adresse IP que ipcop.dyndns.org). L'état decette case n'est pas pris en compte par le service no-ip.com dans la mesure où celui-ci nepermet cette activation que depuis son site web.

Nom d'hôte. Indiquez dans ce champ le nom d'hôte enregistré auprès du fournisseur deDYNDNS.

Domaine. Indiquez dans ce champ le nom de domaine enregistré auprès du fournisseur deDYNDNS.



Nom d'utilisateur. Indiquez dans ce champ le nom d'utilisateur pour l'identification auprèsdu fournisseur de DYNDNS.

Mot de passe. Indiquez le mot de passe correspondant au nom d'utilisateur précédent.

Activé. IPCop n'enverra pas automatiquement les informations au serveur DYNDNS si cettecase n'est pas cochée. Le contenu des champs précédents sera conservé pour vous permettrede réactiver la mise à jour automatique de DYNDNS sans avoir à remplir de nouveau ceformulaire.

Hôtes actuels

Cet encadré donne une liste des entrées de DNS dynamique déjà connues.

Pour éditer l'une d'elle, cliquez sur l'icône représentant un crayon en bout de ligne. Les détailsde l'entrée concernée se retrouvent affichés dans le formulaire précédent. Effectuez alors vosmodifications et cliquez sur le bouton Ajouter en fin de formulaire.

Il est possible d'activer ou de désactiver, depuis la liste, sans avoir à les éditer, les optionsDerrière un serveur mandataire (proxy), Activer les jokers et Activer de chaque entrée.

Forcer la mise à jour

Vous pouvez demander à forcer le rafraîchissement des informations en pressant le boutonForcer la mise à jour. Pour autant, il est recommandé de ne mettre à jour les informations que

lors de changements d'adresse IP : les fournisseurs de service de DNS dynamique apprécienttrès moyennement les mises à jour inutiles. Dès lors qu'une entrée a été activée, à chaquechangement d'adresse IP de votre IPCop, une demande de mise à jour est automatiquementlancée.

Écran Hôtes statiques

Le serveur mandataire DNS d'IPCop met en cache les informations DNS en provenance del'Internet. En plus de cela, il vous laisse spécifier des hôtes dont vous souhaitez gérer vous-même les paramètres. Il peut s'agir de machines locales ou bien de machines distantes pour

lesquelles vous voulez fixer la résolution des adresses.Figure 2.17. Écran d'ajout d'un nom d'hôte



Configuration

Les éléments suivants peuvent être renseignés par l'interface web :

Adresse IP de la machine. Indiquez dans ce champ l'adresse IP.

Nom d'hôte. Utilisez ce champ pour spécifier le nom d'hôte de la machine.

Nom de domaine (optionnel). Si la machine en question se trouve dans un autre domaine,remplissez ce champ avec le nom de domaine.

Activé. Cochez cette case pour activer l'entrée.

L'entrée est sauvegardée lorsque vous pressez le bouton Ajouter.

Hôtes actuels

Cet encadré présente une liste des entrées DNS locales connues d'IPCop.

Il est possible de trier cette liste en cliquant sur l'un des trois en-têtes de colonne soulignés.Un second clic sur un même en-tête inverse le critère de classement.

Figure 2.18. Liste des hôtes configurés

Pour activer ou désactiver une entrée, cliquez sur l'icône représentant une case à cocher dans

la colonne Action de celle-ci. L'icône change en une case vide lorsque l'entrée est désactivée.Cliquez dessus pour la réactiver.



Pour éditer l'une d'elle, cliquez sur l'icône représentant un crayon en bout de ligne. Les détailsde l'entrée en question se retrouvent affichés dans le formulaire précédent. Effectuez alors vosmodifications et cliquez sur le bouton Mise à jour du formulaire.

Pour supprimer une entrée, cliquez sur l'icône représentant une poubelle en bout de ligne.

Page Serveur de temps

Vous pouvez faire en sorte que votre IPCop récupère automatiquement l'heure et la datedepuis un serveur de temps précis accessible par l'Internet. Votre IPCop peut également servirde référence de temps pour les machines de votre réseau.

Figure 2.19. Paramétrage du serveur de temps

Pour configurer ce service, assurez-vous que la case Activé est cochée et indiquez le nomcomplet du serveur de temps à utiliser dans le champ NTP primaire. Vous avez aussi lapossibilité de spécifier un serveur NTP alternatif en remplissant de la même façon le champNTP secondaire.

Pour des raisons d'efficacité, nous vous recommandons de synchroniser votre IPCop avec lesserveurs de temps éventuellement mis à disposition par votre fournisseur d'accès. Si ce derniern'en propose pas, voyez le projet www.pool.ntp.org dont l'objet est justement « de permettreà des millions de clients, grâce à un cluster virtuel de serveurs, d'accéder à un service NTPsimple et fiable sans charger les gros serveurs de temps populaires ».

Pour un horodatage précis, pensez à indiquer votre pays dans l'adresse du serveur (parexemple 0.us.pool.ntp.org) au lieu d'utiliser la zone globale (0.pool.ntp.org) comme expliquésur leur site.

En janvier 2008, un pool spécifique au projet IPCop a été créé. Il est donc désormaispréférable d'utiliser les adresses 0.ipcop.pool.ntp.org, 1.ipcop.pool.ntp.org ou encore2.ipcop.pool.ntp.org en lieu et place des adresses précédentes.

http://www.pool.ntp.org/






Pour faire d'IPCop une référence de temps pour les autres machines de vos réseaux, cochez lacase Fournir l'heure au réseau local.

Vous pouvez choisir de mettre à jour régulièrement l'heure de votre machine IPCop, chaqueheure par exemple. Cette page vous permet aussi de le faire à la demande en cliquant

simplement sur le bouton Mise à jour.

Pour sauvegarder vos choix, utilisez le bouton Enregistrer.

Note

Le service de serveur de temps d'IPCop fait usage de la commande ntpdate pour une mise à jour périodique de l'heure plutôt que du serveur ntpd qui, lui, corrige l'heure de la machine encontinu. De ce fait, il n'est pas obligatoire de laisser connecter votre IPCop en permanence àl'Internet, en risquant toutefois qu'il puisse se désynchroniser et dériver légèrement.

Compenser une dérive systématique de l'horloge de la machine IPCop

S'il s'avère que l'heure de votre machine IPCop est avancée ou reculée d'une duréesignificative lors des resynchronisations avec un autre serveur NTP, vous pouvez spécifier unfacteur de correction dans le fichier /etc/ntp/drift pour compenser cette dérive.

La sortie de la commande ntpdate vous permet de déterminer cette valeur. Depuis la page Journaux système, dans la section NTP, recherchez une ligne du genre :

10:40:00 ntpdate step time server 192.168.1.1 offset 3.371245 sec

En divisant l'écart de temps par le temps écoulé depuis la dernière mise à jour et enmultipliant par un million, vous obtenez la valeur (en parties par millions) à placer dans lefichier /etc/ntp/drift.

En reprenant les données du message d'exemple ci-dessus, cela donne :

(3.37 ÷ 86400 × 1000000) = 39.004

où 3,37 est l'écart quotidien et 86400 le nombre de secondes dans un jour.

Changez la valeur dans le fichier de dérive avec la commande suivante (exécutée en tant queroot) :

$ echo 39.004 > /etc/ntp/drift

Figure 2.20. Mise à jour manuelle de l'heure



Si vous ne souhaitez pas utiliser un serveur de temps comme référence, vous pouvez entrerl'heure et la date courantes dans les champs de l'encadré représenté ci-dessus avant de cliquersur le bouton Mise à jour immédiate.

Avertissement

Si vous avancez sensiblement l'heure de la machine, le serveur fcron en charge de l'exécutiondes tâches cron normales peut sembler arrêté alors qu'il attend de rattraper le temps.

Si tel est le cas, essayez la commande fcrontab -z depuis un terminal pour réinitialiser leserveur fcron.

Page Lissage du trafic (shaping)

Le lissage de trafic vous permet d'assigner des priorités aux flux IP traversant votre pare-feu.IPCop fait appel pour cela à WonderShaper. Ce logiciel a été conçu pour minimiser la latenceau ping et garantir que les services interactifs tels que SSH restent fluides même sous fortecharge, par exemple pendant un gros téléchargement.

Figure 2.21. Configuration du lissage de trafic



Nombreux sont les fournisseurs d'accès à caractériser leurs offres par vitesses de transfertplutôt que par latences. Pour maximiser ces vitesses de transfert, ils configurent leurséquipements pour grouper vos flux dans des queues. Lorsque des flux interactifs sontintroduits dans ces grandes queues, leurs latences augmentent considérablement puisque lespaquets ACK doivent patienter un certain temps avant de vous arriver. IPCop sait gérer ce

phénomène et vous laisse assigner des priorités à vos flux. Pour cela, ils doivent être groupésen trois catégories de priorités différentes : Haute, Moyenne et Basse. Le trafic ping esttoujours attaché au groupe de plus haute priorité — pour vous permettre de connaître lavitesse de votre connexion lors de gros téléchargement.

Pour mettre en place le lissage de trafic par IPCop :

1. servez-vous de quelques sites rapides bien connus pour estimer vos vitesses detransfert montant et de transfert descendant. Remplissez les champs correspondantdans l'encradé Configuration ;

2. activez le lissage de trafic en cochant la case Activé ;

3. identifiez quels services sont utilisés derrière votre pare-feu ;4. classez ces services en trois groupes de priorités croissantes. Par exemple :

a. le trafic interactif, tel que les sessions SSH (port 22) et les services de voix surIP (VOIP) ont leur place dans le groupe à priorité élevée.

b. la navigation classique sur le web (port 80) et les flux de communication(streaming audio et vidéo) se placent dans le groupe à priorité moyenne.

c. les trafics de masse, genre échanges de fichiers par P2P, se placent dans legroupe ayant une priorité basse.

5. créez la liste de services et de priorités depuis l'encadré Ajout du service de cette page.

Les services pris en exemple ci-dessus ne servent qu'à montrer le potentiel d'IPCop pour cequi est du lissage du trafic. Vous serez très vraisemblablement amené à adapter le contenu desgroupes puisque la nature des flux dépend de votre utilisation.

Page Détection d'intrusion

IPCop intègre un puissant système de détection d'intrusion nommé Snort. Il analyse lecontenu des paquets reçus par le pare-feu et recherche les signes d'activités malveillantes.

Snort est un système passif de sondes que l'utilisateur doit gérer. Vous devez surveiller lesfichiers de journaux et interpréter les informations qu'ils présentent. Snort se borne à

consigner les évènements suspects de sorte que si vous recherchez un système actif, vousdevrez vous tourner vers snort_inline ou le addon guardian.

Il est également important de prendre en compte l'empreinte mémoire non négligeable deSnort : les versions récentes nécessitent près de 80 Mo de mémoire par interface. Cettequantité de mémoire dépend en partie du jeu de règles mis en oeuvre et peut être réduite parsélection des règles utilisées.

Figure 2.22. Configuration de la détection d'intrusion



IPCop peut se charger de contrôler les paquets réseau sur les interfaces VERTE, BLEUE,ORANGE et RED. Pour ce faire, cochez les cases correspondantes avant de cliquer sur lebouton Enregistrer.

Mise à jour des règles Snort

L'installation standard d'IPCop fournit un ensemble basique de règles permettant à Snortd'identifier des activités suspectes. À mesure que de nouvelles attaques apparaîssent, cesrègles sont mises à jour. Pour utiliser les règles « Sourcefire VRT Certified », vous devezvous enregistrer sur le site web de Snort et ainsi obtenir un « Oink Code ».

Avant votre première tentative de récupération de règles, entrez votre « Oink Code » etcliquez sur le bouton Enregistrer.

Cliquez ensuite sur le bouton Actualiser la liste des mises à jour, puis sur le bouton

Télécharger de nouvelles règles et enfin sur le bouton Appliquer maintenant.L'heure et la date sont affichées à côté de chaque bouton si l'opération a réussie.

Le dernier bouton Lire le dernier historique d'installation des règles permet de visionner ledernier journal d'installation des règles.

[1] Quel est l'effet de cette option ? Comment s'explique ce « possible hole » ? Il serait

intéressant qu'une personne maîtrisant la configuration du serveur mandataire avec IPCop se

http://www.snort.org/



http://www.chbcp.net/~pat/ipcop/admin/html/ch02s05.html#aide_traduction_squid_20090611







penche sur la traduction de ce paragraphe en particulier mais aussi plus largement de toute lasection. Merci de faire part de vos propositions/remarques.

Pages de l'onglet Pare-feu

Les pages regroupées sous l'onglet Pare-feu donnent accès aux fonctions principales de votreIPCop. Elle permettent en effet de contrôler les flux traversant votre pare-feu.

Il s'agit des pages :

de transferts de ports ;d'accès externes pour la configuration d'accès de maintenance de votre IPCop depuisl'extérieur ;des accès à la DMZ ;des accès au réseau BLEU permettant de connecter un point d'accès sans-fil à IPCop.

des options du pare-feu.

Quels sont les flux autorisés entre les différentes interfaces réseau d'IPCop ?

La figure suivante résume le paramètrage par défaut d'IPCop pour ce qui est des flux réseau.Elle précise également les systèmes permettant d'ouvrir ou de contrôler ces flux.

Figure 2.23. Flux IP

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s06.html#section-port-forwarding


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s06.html#section-external-access


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s06.html#section-dmz-pinholes


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s06.html#section-blue-access


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s06.html#section-firewall-options









Personnalisation par l'utilisateur

Avec la version 1.4 est apparu un fichier destiné aux utilisateurs voulant modifier par eux-

mêmes les règles du pare-feu. Il s'agit du fichier /etc/rc.d/rc.firewall.local .

Ce fichier est appelé par un autre fichier, /etc/rc.d/rc.firewall , lors du démarraged'IPCop. Il est par ailleurs possible de le lancer manuellement avec la ligne de commandesuivante :

$ /etc/rc.d/rc.firewall.local {start|stop|reload}

Note

L'option reload a été ajoutée avec la version 1.4.2 puis modifiée avec la version 1.4.6. Ceschangements n'ont cependant pas été inclus dans les mises à jour officielles correspondantes,ceci pour ne pas effacer les éventuelles modifications apportées par l'utilisateur.

Depuis la version 1.3, plusieurs chaînes - au sens IPTables - sont à la disposition del'utilisateur pour l'adaptation du pare-feu à des besoins particuliers : CUSTOMINPUT,CUSTOMOUTPUT et CUSTOMFORWARD.

Enfin le fichier /etc/rc.d/rc.local , introduit également avec la version 1.3, permet àl'utilisateur de lancer ses propres commandes au démarrage de la machine. Il peut parexemple s'agir de la configuration d'un modem interne.

Aucun de ces fichiers n'est modifié lors des mises à jour officielles. Ils font par ailleurs partiedes fichiers inclus dans les sauvegardes de configuration.

Page Transferts de ports

Cette page vous permet de configurer des transferts de ports sur votre IPCop. Cette opérationest totalement facultative, ne tenez pas compte de cette section que si vous avez besoin d'untel dispositif.

Aperçu du transfert de port

Un pare-feu a pour fonction de stopper les connexions initiées depuis l'extérieur du réseauqu'il protège. Néanmoins, il arrive que cette fonction soit trop stricte. C'est le cas par exemplesi vous possédez un serveur Web : toutes les requêtes à ce serveur émanant de l'extérieur severraient refusées. Seules les requêtes provenant de vos propres machines (internes) seraienthonorées. Ce qui signifie que seuls les utilisateurs du réseau interne pourraient consulter leserveur ce qui n'est évidemment pas le comportement espéré. En effet, vous voulez la plupartdu temps que les personnes extérieures aient elles aussi la possibilité de consulter votre site.C'est là que le transfert de port intervient.

Le transfert de port est le service qui autorise un accès limité au réseau local depuisl'extérieur. Lorsque vous mettez en place un serveur, vous pouvez choisir sur quels ports le



mettre en « écoute ». La procédure dépend du logiciel. Reportez-vous à la documentationl'accompagnant pour connaître cette procédure.

Dès lors que cette configuration des ports est faite, vous êtes prêt à paramètrer votre IPCop.Sur la page des transferts de ports, le menu déroulant TCP/UDP vous permet de choisir sur

quel protocole la règle doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocolen'est pas indiqué dans la documentation du serveur, il est fort probable qu'il s'agisse de TCP.Certains serveurs de jeux ou de discussion utilisent cependant l'UDP.

Le champ Port source est utilisé pour spécifier le port auquel les personnes extérieures seconnecteront. Le plus souvent, ce champ prend pour valeur le numéro du port standard duservice (80 pour les serveurs Web, 20 pour les serveurs ftp, 25 pour des serveurs de courrier,etc.....). Il est possible d'indiquer une plage de ports à transférer plutôt qu'un seul. Pour cefaire, servez-vous du caractère « : » entre deux numéros de port, en commençant par le pluspetit numéro.

Le champ Adresse IP de destination représente l'adresse IP interne de votre serveur (votreserveur Web peut par exemple avoir l'adresse 192.168.0.3).

Le champ Port destination doit être renseigné avec le numéro de port sur lequel le serveur esten écoute sur la machine interne. Il s'agit du numéro de port discuté précédemment lors de laconfiguration du serveur.

Enfin la liste déroulante Alias IP permet de sélectionner à quelle adresse IP ROUGE cetterègle doit s'appliquer. IPCop peut en effet gérer plus d'une adresse IP ROUGE. Si vous n'enavez qu'une, choisissez l'entrée DEFAULT IP.

Transfert de port et accès externe

L'interface de gestion des transferts de ports a été réécrite à l'occasion de la version 1.3.0. Elleest sensiblement différente de celle des versions antérieures. Notez toutefois que les numérosde ports utilisés pour un service particulier n'ont pas changé.

La page des accès externes n'a AUCUNE incidence sur les réseaux VERT et ORANGE. Ellepermet seulement d'ouvrir à l'extérieur des ports de votre machine IPCop mais pas vosréseaux VERT ou ORANGE.

Comment ouvre-t-on un accès externe alors ? Cette ouverture est combinée au transfert deport. La page de configuration des transferts de ports propose un champ nommé Adresse IPsource ou réseau (vide pour "Tout") à cet effet.

Si ce champ est laissé vide, le transfert de port est ouvert à TOUTES les adresses del'Internet. Autrement, vous pouvez l'utiliser pour spécifier une adresse unique ou une adressede réseau et n'autoriser ainsi l'accès que depuis une machine ou un réseau particulier.

Figure 2.24. Paramétrage des transferts de ports



Vous pouvez avoir plus d'une seule adresse externe - après avoir créé votre le transfert deport, celle-ci apparaîtra dans la liste. Si vous souhaitez ajouter une adresse externesupplémentaire, cliquez sur l'icône représentant un « crayon rouge » et un signe « plus » del'entrée correspondante. Les détails de cette entrée se retrouvent affichés dans le premier

encadré pour vous permettre d'entrer une adresse IP externe ou un réseau.À la validation de ces informations vous verrez apparaître une nouvelle entrée dans l'encadrélistant les transferts de port.

Plusieurs autres choses sont à noter :

le protocole GRE est supporté ;le caractère « * » est un joker pour la définition des plages de ports. Par exemple :

o « * » crée une plage couvrant tous les ports ;o « 85-* » crée une plage allant du port 85 au port 65535 ;o « *-500 » crée une plage allant du port 1 au port 500.

Les caractères « : » et « - » sont les caractères valides de séparation de ports dans la définitiond'une plage. Notez que le caractère « - » sera changé en « : » même s'il apparaît bien comme« - » à l'écran.

Vous n'avez qu'à entrer le premier port source, le port destination sera rempli pour vousautomatiquement.

Un enregistrement peut être édité en cliquant sur l'icône représentant un « crayon jaune » enbout de ligne. Tant que vous ne cliquez pas sur le bouton Mise à jour, aucun changement n'estpris en compte.



Lors de l'édition d'un enregistrement, la ligne correspondante est surlignée en jaune.

Pour supprimer un enregistrement, cliquez sur l'icône qui lui est associée représentant une« poubelle ».

Les plages de ports ne peuvent pas se chevaucher.

Un port individuel ne peut pas être placé en plein milieu d'une plage, par exemple si vousavez déjà configuré la plage 2000-3000 et que vous essayez de transférer le port 2500, uneerreur sera signalée. Vous ne pouvez pas transférer un même port vers plusieurs machines.

Sur l'adresse principale (DEFAULT IP) certains ports sont réservés à IPCop pour son bonfonctionnement. Il s'agit des ports 67, 68, 81, 222, et 445.

Lors de l'édition d'un transfert de port, une case à cocher nommée Supprimer l'accès externepour TOUS apparaît. Il s'agit d'une manière simple et rapide d'ouvrir un port à TOUTES les

adresses d'Internet pour tester ou pour toute autre raison. Cette fonctionnalité a été ajoutée à lademande d'un utilisateur.

Si vous avez un transfert de port avec de multiples accès externes, quand vous supprimez cesaccès externes, le port devient ouvert à TOUTES les adresses, prenez-y garde.

Il existe un raccourci permettant d'activer/désactiver un transfert de port ou un accès externe :cochez/décochez la case « Activé » de l'entrée concernée. Lorsqu'une règle est désactivée, lacase est décochée. Cliquez alors dessus pour la réactiver. Remarque : lorsque vousdésactivez un transfert de port, tous les accès externes associés sont désactivés. De même

lorsque vous activez un transfert de port, tous les accès externes associés sont activés.Page Accès externes

Cette page vous permet de paramétrer les accès externes pour votre machine IPCop. Cetteopération est totalement facultative, ne tenez compte de cette section que si vous envisagezd'utiliser cette fonctionnalité.

Figure 2.25. Configuration des accès externes



Depuis la version 1.3.0, l'accès externe ne sert à contrôler que les seuls accès à votre machineIPCop. Il n'a aucun effet sur les accès aux réseaux VERT, BLEU ou ORANGE. Ceci estdésormais géré par le transfert de port décrit précédemment.

Si vous souhaitez administrer votre IPCop à distance, vous devez autoriser l'accès externe auport 445, https en TCP. Vous pouvez également autoriser l'accès au port 222, ssh en TCP sil'accès SSH est activé.

Le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle en coursd'édition doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pasindiqué dans la documentation du serveur, alors il s'agit très probablement de TCP.

Le champ Adresse IP source ou réseau est utilisé pour spécifier l'adresse de la machine à quil'accès au pare-feu est autorisé. Ce champ peut être laissé vide, l'accès est alors donné àn'importe quelle machine. Bien que dangereux cela peut s'avérer utile si vous envisagezd'administrer votre machine de n'importe où dans le monde. Pour autant, si vous arrivez àlimiter le nombre d'adresses IP depuis lesquelles vous voulez pouvoir administrer votreIPCop, vous pouvez les indiquer dans ce champ.

Le champ Port de destination doit être renseigné avec le numéro du port externe auquel cesadresses peuvent se connecter, par exemple 445.

Le menu déroulant Adresse IP de destination permet de sélectionner à quelle adresse IP duréseau ROUGE cette règle doit s'appliquer. IPCop peut en effet gérer plus d'une adresse IPROUGE. Si vous n'en avez qu'une, choisissez l'entrée DEFAULT IP.

Lorsque tous les champs précédents ont été renseignés, cochez la case Activé avant de cliquersur le bouton Ajouter. La règle est alors enregistrée et activée.

L'encadré Règles actuelles donne une liste de toutes les règles gérées par votre IPCop. Pour

supprimer l'une d'elles, cliquez sur l'icône représentant une « poubelle ». Pour en éditer une,cliquez sur l'icône représentant un « crayon jaune ».



Pour activer ou désactiver une règle, servez-vous de la case à cocher coorespondante.Lorsqu'elle est désactivée, la case est décochée. Vous devez cliquer dessus pour la réactiver.

Page Accès à la DMZ

Cette page vous permet de paramétrer les accès au réseau VERT depuis la DMZ. Cetteopération est totalement facultative, ne tenez pas compte de cette section si vous n'envisagezpas d'utiliser un tel dispositif.

Cette page n'est visible que si vous avez installé et configuré une interface ORANGE ouBLEUE.

Figure 2.26. Paramétrage des accès depuis la DMZ

La DMZ ou zone démilitarisée (réseau ORANGE) est une zone particulière, semi-sécurisée,point d'échange entre la zone externe (réseau ROUGE) et la zone interne (réseau VERT). Lapremière représente l'ensemble de l'Internet. Alors que la seconde regroupe vos machinesinternes. La DMZ permet ainsi de partager l'accès à des serveurs depuis ces deux zones sanspour autant permettre l'accès depuis l'Internet à vos machines locales sensibles.

Supposez par exemple que votre entreprise possède un serveur Web. Évidemment, voussouhaitez que vos clients puisseent y accéder. Mais supposez qu'en même temps vous vouliezque ce serveur Web transmette les commandes des clients à vos employés dont les machinessont naturellement sur le réseau VERT. Dans une mise en oeuvre classique de pare-feu, celane peut fonctionner puisque les requêtes d'accès au réseau VERT sont initiées depuisl'extérieur de ce réseau. De toute évidence, vous ne souhaitez pas que vos clients aient unaccès direct à vos machines internes du réseau VERT. Alors comment faire ? Et bien enparamétrant l'accès restreint depuis la DMZ.

Cet accès restreint donne aux machines de la DMZ la possibilité de contacter des machines du

réseau VERT sous conditions. Dans la mesure où les serveurs de la zone ORANGE se doiventd'avoir des conditions d'accès depuis la zone ROUGE souples, ils sont plus vulnérables aux



attaques externes. En n'autorisant qu'un accès réduit au minimum de ORANGE vers VERT,vous évitez les accès non autorisés à vos machines sensibles si la sécurité d'un de vos serveursétait compromise.

Le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle en cours

d'édition doit s'appliquer. La plupart des serveurs utilise le protocole TCP. Quelques serveursde jeu et serveurs de discussion utilisent l'UDP. Si le protocole n'est pas indiqué dans ladocumentation du serveur, alors il s'agit très probablement de TCP. Utilisez le mêmeprotocole que celui spécifié sur la page de transferts de ports.

Le menu déroulant Réseau d'origine donne une liste des réseaux sources disponibles sur lamachine.

Le champ Adresse IP source doit être renseigné avec l'adresse IP de la machine à qui vouspermettez l'accès aux machines internes.

Le menu déroulant Réseau de destination donne une liste des réseaux destinations disponiblessur la machine.

Le champ Adresse IP de destination doit quant à lui contenir la machine recevant la requête.Cette machine se trouve sur l'un des réseaux internes de confiance, c'est à dire VERT ouBLEU.

L'entrée Port de destination spécifie le port sur lequel la machine précédente est à l'écoute.

Dès lors que toutes les informations ont été saisies, cochez la case Activé avant de cliquer sur

le bouton Ajouter. La règle est alors enregistrée et activée. Elle apparaît dans le secondencadré de cette page.

L'encadré Règles actuelles donne une liste de toutes les règles gérées par votre IPCop. Poursupprimer l'une d'elles, cliquez sur l'icône représentant une « poubelle ». Pour en éditer une,cliquez sur l'icône représentant un « crayon jaune ».

Pour activer ou désactiver une règle, servez-vous de la case à cocher correspondante.Lorsqu'elle est désactivée, la case est décochée. Vous devez cliquez dessus pour la réactiver.

Page Accès BLEU

Cette page vous permet de paramètrer quel point d'accès WiFi du réseau BLEU est autorisé àse connecter à votre IPCop. Cette opération est totalement facultative, ne tenez compte decette section que si vous envisagez d'utiliser un tel dispositif.

Note

Cette page n'est visible que si vous avez installé et configuré l'interface du réseau BLEU.

Pour mettre en place un réseau BLEU :

1. utilisez une carte Ethernet reconnue pour l'interface BLEUE ;







2. connectez le point d'accès à la carte Ethernet (si plusieurs connecteurs sont présentssur le point d'accès, utilisez le connecteur RJ45 portant la mention LAN) ;

3. DHCP peut servir à l'adressage dynamique ou statique du réseau BLEU. L'adressagestatique reste cependant recommandé pour des raisons de sécurité des adresses MAC.Reportez-vous à la description de la page de configuration du serveur DHCP pour plus

d'informations sur la concession de baux statiques par le serveur.

Si vous ne devez permettre que l'accès à Internet (réseau ROUGE) par http aux machines devotre réseau BLEU, indiquez, sur la page reproduite ci-dessous, soit l'adresse IP ou MAC durouteur sans fil, soit les adresses de vos périphériques sans fil si vous vous servez d'un pointd'accès. Vous devez indiquer au minimum une adresse MAC ou une adresse IP,éventuellement les deux, pour chaque périphérique.

Un point d'accès se comporte comme un répartiteur Ethernet et IPCop prend en charge leservice DHCP pour les périphériques utilisant ce point d'accès. À l'inverse un routeur sans filse charge seul de la translation d'adresses (NAT) et de la configuration réseau des clients

(DHCP). Il propose en outre ses propres éléments de contrôle.

Note

Votre point d'accès doit supporter la transparence DHCP (DHCP passthrough) si vous espérezfaire d'IPCop le serveur DHCP des machines de votre réseau sans fil. Toutes les référencesn'offrent pas cette fonctionnalité en « mode » point d'accès (par exemple Netgear WG614).

Depuis une machine connectée au réseau BLEU, vous pourrez accéder à l'interface Webd'administration d'IPCop mais pas aux machines du réseau VERT sans quelques

manipulations supplémentaires.Pour autoriser l'accès au réseau VERT depuis le réseau BLEU, vous devez :

1. soit utiliser la page Configuration des accès à la DMZ et mettre en place des règlesd'accès particulières ;

2. soit configurer un VPN pour l'accès de vos postes nomades sur l'interface BLEU.

Figure 2.27. Paramétrage de l'accès BLEU











Dans l'encadré Ajoute un Client Réseau, vous indiquez l'adresse IP ou l'adresse MAC d'unpoint d'accès sans-fil ou de n'importe quel périphérique du réseau BLEU que vous voulezrelier à Internet par l'intermédiaire de votre IPCop.

Vous devez renseigner au minimum une adresse MAC ou une adresse IP par périphérique.

Si le service DHCP est activé sur le réseau BLEU et si vous désirez autoriser toutpériphérique à se connecter et profiter du le réseau RED, vous devez ajouter une entrée à cetteliste pour chaque adresse IP de la plage d'adresses gérées par DHCP. Laissez le champd'adresse MAC de chaque entrée vide.

Inversement, si vous souhaitez limiter l'accès aux seuls périphériques connus, ajoutez lesadresses MAC de ces périphériques et laissez le champ d'adresse IP vide. Ce faisant vousautorisez les connexions des seuls périphériques dont l'adresse MAC est listée ici,indépendamment des baux DHCP qu'ils reçoivent.

Ceci fait, cochez la case Activé et cliquez sur le bouton Ajouter. Les données saisies seretrouvent alors affichées dans l'encadré suivant et l'entrée est marquée active.

L'encadré Clients Réseaux sur BLEU propose en effet une liste des périphériques reconnussur le réseau BLEU. Pour supprimer l'un d'eux, cliquez sur l'icône représentant une

« poubelle ». Pour le reparamétrer, cliquez sur l'icône représentant un « crayon jaune ».



Pour activer ou désactiver une entrée, servez-vous de la case à cocher correspondante.Lorsque l'entrée est désactivée, la case est décochée. Vous devez cliquez dessus pour laréactiver.

Si le service DHCP est activé pour le réseau BLEU, cette page propose un encadré

supplémentaire : Bails DHCP sur BLEU.

Il vous fournit un moyen rapide d'ajouter des périphériques sans fils à la liste despériphériques autorisés. Pour cela, cliquez sur l'icône représentant un « crayon bleu » dupériphérique en question. Vous pouvez alors éditer l'entrée si nécessaire en cliquant sur l'icônereprésentant un « crayon jaune » comme précédemment.

Page Options du firewall

Cette page vous permet de configurer plus finement certains comportements du pare-feu.Vous pouvez sans aucun risque ignorer cette section si vous ne souhaitez pas utiliser cettefonctionnalité.

Figure 2.28. Options du pare-feu

Désactive le ping

Non - votre IPCop répond aux requêtes ping arrivant sur n'importe laquelle de sesinterfaces. Il s'agit du comportement par défaut.Seulement ROUGE - votre IPCop ne répond pas aux requêtes ping arrivant surl'interface ROUGE.Toutes les interfaces - votre IPCop ne répond à aucune requête ping qu'il reçoit.

Pour sauvegarder ces modifications, pressez le bouton Enregistrer.

Pages de l'onglet RPVs

Virtual Private Networks (VPNs) ou Réseau Privé Virtuel (RPV)



IPCop peut facilement établir des VPNs avec d'autres serveurs IPCop. Mais il lui est aussipossible d'interagir avec n'importe quel autre produit VPN supportant IPSec et un chiffrementstandard tel que 3DES.

Section en cours de rédaction...

Encadré Paramètres généraux

Figure 2.29. Paramètres généraux du VPN


Encadré Contrôle et statut de la connexion

Figure 2.30. Encadré de contrôle et de statut : vue initiale


Type de Connexion

Figure 2.31. Sélection du type de connexion VPN




Connexion Serveur-vers-Réseau

Figure 2.32. Saisie d'une connexion VPN Serveur-à-Réseau

Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cetteconnexion.


Connexion de Réseau-à-Réseau

Figure 2.33. Paramètres d'une connexion VPN Réseau-à-Réseau

Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cetteconnexion.

Côté IPCop. Section en cours de rédaction...


Authentification



Figure 2.34. Paramètres pour l'authentification


Encadré Autorités de certificationFigure 2.35. Autorités de certification : vue initiale




Pages de l'onglet Journaux

Introduction

Ce menu permet d'accéder à cinq ou six pages suivant votre configuration. Ces pages -Configuration des journaux, Résumé des journaux, Journaux du serveur mandataire, Journauxdu pare-feu, Journaux IDS si ce dernier est actif et Journaux Système - partagent un ensemblede fonctionnalités pour la sélection, l'affichage et l'exportation des événements enregistrés parla machine IPCop. Les listes déroulantes Mois et Jour de l'encadré Configuration vouspermettent d'accéder aux traces des jours et mois précédents. À chaque nouvelle combinaisonde ces champs, il est nécessaire de cliquer sur le bouton Mise à jour pour rafraîchir l'affichage.Lors du premier affichage d'une page, les informations présentées correspondent au relevé dela journée en cours.

Le bouton << vous permet de revenir en arrière d'une journée alors que le bouton >> vous

permet d'avancer au relevé du jour suivant.

Les traces sont affichées sous la forme d'une liste dans l'encadré nommé Journaux. Si cetteliste est trop longue pour être affichée correctement dans une fenêtre de navigateur, seuls lesenregistrements les plus récents sont présentés. Dans ce cas, les liens Plus ancien et Plusrécent en haut et en bas de page sont actifs et permettent de naviguer dans la liste complète.

Le bouton Exporter permet de récupérer sur votre machine cliente un fichier au format texte(log.dat) contenant les données de la page affichée. Suivant la configuration de votreordinateur, l'appui sur ce bouton entraîne l'ouverture d'une fenêtre de téléchargement,l'affichage du contenu du fichier directement dans le navigateur ou bien encore l'ouverture

d'un éditeur de texte. Dans ce dernier cas, vous avez toute liberté pour sauvegarder le fichierlog.dat en format texte.

Page Configuration des journaux


Figure 2.36. Configuration des journaux

http://www.chbcp.net/~pat/ipcop/admin/html/ch02s08.html#log-settings


http://www.chbcp.net/~pat/ipcop/admin/html/ch02s08.html#log-summary



http://www.chbcp.net/~pat/ipcop/admin/html/ch02s08.html#section-logs-proxy



http://www.chbcp.net/~pat/ipcop/admin/html/ch02s08.html#section-logs-firewall




http://www.chbcp.net/~pat/ipcop/admin/html/ch02s08.html#section-logs-ids



http://www.chbcp.net/~pat/ipcop/admin/html/ch02s08.html#logs-system












Page Résumé des journaux


Figure 2.37. Affichage du résumé des traces

Page Journaux du serveur mandataire

Cette page vous permet de consulter les fichiers stockés dans le cache du serveur webmandataire d'IPCop. Par défaut, ce serveur est inactif et doit donc être explicitement activédepuis la page d'administration spécifique (Services > Serveur mandataire (proxy)).

NoteCette page n'apparaît que si la case Journaux activés a été cochée sur la page de configurationdu serveur mandataire.

À cause du volume potentiellement important d'information à traiter, cette page peutdemander quelques instants à s'afficher la première fois et à chaque mise à jour.

Plusieurs éléments de contrôle vous sont proposés en plus des listes déroulantes Mois:, Jour:et des boutons << (jour précédent), >> (jour suivant), Mise à jour, Exporter précédemmentdécrits :







la liste déroulante Source IP: vous permet de choisir l'activité du mandataire Webrelative à une adresse IP particulière ou à toutes les machines de votre réseau grâce auchoix TOUT.l'entrée Filtre: peut être utilisée pour ne pas afficher les traces relatives aux fichiersdont l'extension est reconnue par cette expression rationnelle. Sa valeur par défaut

permet d'ignorer les traces relatives aux images (fichiers d'extensions .gif, .jpeg,.jpg & .png), aux feuilles de style (.css) et aux fichiers JavaScript (.js).la case à cocher Activation du filtre: commande l'utilisation ou non du filtre précédent.le bouton Restaurer les paramètres par défaut réinitialise l'état des contrôles (tel que lefiltre).

Pour cette page, les données affichées dans la section Journaux sont les suivantes :

l'Heure à laquelle le fichier a été demandé et mis en cache ;l'Adresse IP de la machine locale du demandeur ;le Site web - ou plus précisément l'URL - de chaque fichier demandé et mis en cache.

Note

Les URL de la colonne Sites web sont affichées sous forme d'hyperliens pointant vers lespages web ou les fichiers concernés.

Figure 2.38. Affichage des traces du serveur mandataire

Page Journaux du pare-feu

Cette page donne un compte rendu des paquets de données bloqués par la fonction pare-feud'IPCop.



Note

Tous les paquets bloqués ne sont pas forcément des tentatives hostiles d'accès à votre réseaupar des pirates. Il est ainsi fréquent de bloquer certains paquets pour des raisons tout à faitanodines. C'est le cas par exemple des tentatives de connexion au port "ident/auth" (113), qui

sont bloquées par défaut sur IPCop.

Cette page propose les éléments de contrôle détaillés précédemment : listes déroulantes Moiset Jour, boutons << (Jour précédent), >> (Jour suivant), Mise à jour et Exporter.

L'encadré Journaux: de cette page contient une ligne pour chaque paquet écarté par le pare-feu. Lui sont associés l'heure de récéption du paquet, les adresses IP source et destinationainsi que le protocole et le port concernés. Chaque entrée permet en plus d'identifier la chaîne- au sens IPTable - ayant conduit au rejet et l'interface réseau d'IPCop impliquée.

Vous pouvez obtenir des informations sur les adresses IP en cliquant dessus. IPCop effectuealors une recherche DNS inversée et affiche les informations disponibles concernantl'enregistrement et le propriétaire de l'adresse en question.

Figure 2.39. Affichage des traces du pare-feu

Page Journaux IDS

Cette page affiche les incidents détectés par l'IDS (ou Système de Détection d'Intrusion)d'IPCop. Par défaut, l'IDS est inactif et doit donc être explicitement activé depuis la paged'administration spécifique (Services > Détection Intrusion).

Cette page propose les éléments de contrôle détaillés précédemment : listes déroulantes Mois

et Jour, boutons << (Jour Précédent), >> (Jour Suivant), Mise à jour et Exporter. Ils vous







permettent d'examiner les traces de l'IDS pour un jour particulier. Pour chaque incident, vousretrouvez les informations suivantes :

Date: - la date et l'heure de l'incident.Nom: - une description rapide de l'incident.

Priorité: (si disponible) - la criticité de l'incident : 1 ("sérieux"), 2 ("pas si sérieux"), et3 ("éventuellement sérieux").Type: (si disponible) - une description générale de l'incident.Informations sur l'adresse IP: - l'identité IP (adresse & port) de la source et de la cibleimpliquées dans l'incident. Chaque adresse IP est un hyperlien que vous pouvezutiliser pour lancer une recherche DNS inversée donnant accès aux détails de propriétéde l'adresse.Références: - d'éventuelles adresses web pour des informations complémentaires surl'incident.SID: (si disponible) - l'identifiant Snort. "Snort" est le module logiciel utilisé parIPCop pour la fonctionnalité d'IDS, et le SID est un code interne à Snort pour

identifier un type spécifique d'attaque. Ce champ est un hyperlien vers la page Webadéquate dans la base de données des signatures d'intrusions connues de Snort.

Figure 2.40. Affichage des traces de l'IDS

Page Journaux système

Cette page affiche les traces propres au système ainsi que d'autres traces diverses. Consultezle début de cette section pour l'utilisation des contrôles habituels : Mois, Jour, << (Jourprécédent), >> (Jour suivant) et Mise à jour. La liste déroulante Section permet l'accès à

douze catégories de traces :



IPCop (défaut) - les événements IPCop comme les sauvegardes de profils PPP et lestraces de connexion ("PPP has gone up on ppp0 ") et de déconnexion ("PPP hasgone down on ppp0 ") d'un modem.RED - le trafic envoyé par l'interface qui fournit l'interface PPP pour IPCop. Ceciinclut les données envoyées et reçues de modems et autres interfaces réseaux. Dans le

cas de problèmes de connexion, ces traces sont souvent d'un grand secours.DNS - les traces de l'activité de dnsmasq, l'utilitaire pour la résolution de nom DNS.Serveur DHCP - les informations sur l'activité du serveur DHCP fourni par IPCop.SSH - la liste des utilisateurs qui se sont connectés et déconnectés du serveur IPCoppar le réseau en SSH.NTP - l'activité de la fonction serveur de temps d'IPCop.Cron - les traces de l'ordonnanceur cron.Login/Logout- la liste des connexions d'utilisateurs (et déconnexions) sur le serveurIPCop. Ceci inclut à la fois les connexions locales et celles à distance par le biais del'interface SSH.Noyau - l'activité du noyau Linux du serveur IPCop.

IPSec - l'activité d'IPSec - le module logiciel qu'IPCop utilise pour le VPN.Mise à jour - les résultats d'applications des mises à jour d'IPCop faites depuis la pageSystème > Mises à jour. Snort - l'activité de SNORT, le système de détection d'intrusion.

Figure 2.41. Affichage des traces système

Annexe A. GNU Free Documentation License

Version 1.2, November 2002

Copyright (C) 2000,2001,2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330,Boston, MA 02111-1307 USA. Everyone is permitted to copy and distribute verbatim copiesof this license document, but changing it is not allowed.

0. Preamble






The purpose of this License is to make a manual, textbook, or other functional and usefuldocument « free » in the sense of freedom: to assure everyone the effective freedom to copyand redistribute it, with or without modifying it, either commercially or noncommercially.Secondarily, this License preserves for the author and publisher a way to get credit for theirwork, while not being considered responsible for modifications made by others.

This License is a kind of « copyleft », which means that derivative works of the documentmust themselves be free in the same sense. It complements the GNU General Public License,which is a copyleft license designed for free software.

We have designed this License in order to use it for manuals for free software, because freesoftware needs free documentation: a free program should come with manuals providing thesame freedoms that the software does. But this License is not limited to software manuals; itcan be used for any textual work, regardless of subject matter or whether it is published as aprinted book. We recommend this License principally for works whose purpose is instructionor reference.

1. Applicability and Definitions

This License applies to any manual or other work, in any medium, that contains a noticeplaced by the copyright holder saying it can be distributed under the terms of this License.Such a notice grants a world-wide, royalty-free license, unlimited in duration, to use that workunder the conditions stated herein. The « Document », below, refers to any such manual orwork. Any member of the public is a licensee, and is addressed as « you ». You accept thelicense if you copy, modify or distribute the work in a way requiring permission undercopyright law.

A « Modified Version » of the Document means any work containing the Document or aportion of it, either copied verbatim, or with modifications and/or translated into anotherlanguage.

A « Secondary Section » is a named appendix or a front-matter section of the Document thatdeals exclusively with the relationship of the publishers or authors of the Document to theDocument's overall subject (or to related matters) and contains nothing that could fall directlywithin that overall subject. (Thus, if the Document is in part a textbook of mathematics, aSecondary Section may not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial,

philosophical, ethical or political position regarding them.

The « Invariant Sections » are certain Secondary Sections whose titles are designated, asbeing those of Invariant Sections, in the notice that says that the Document is released underthis License. If a section does not fit the above definition of Secondary then it is not allowedto be designated as Invariant. The Document may contain zero Invariant Sections. If theDocument does not identify any Invariant Sections then there are none.

The « Cover Texts » are certain short passages of text that are listed, as Front-Cover Texts orBack-Cover Texts, in the notice that says that the Document is released under this License. A

Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words.



A « Transparent » copy of the Document means a machine-readable copy, represented in aformat whose specification is available to the general public, that is suitable for revising thedocument straightforwardly with generic text editors or (for images composed of pixels)generic paint programs or (for drawings) some widely available drawing editor, and that issuitable for input to text formatters or for automatic translation to a variety of formats suitable

for input to text formatters. A copy made in an otherwise Transparent file format whosemarkup, or absence of markup, has been arranged to thwart or discourage subsequentmodification by readers is not Transparent. An image format is not Transparent if used forany substantial amount of text. A copy that is not « Transparent » is called « Opaque ».

Examples of suitable formats for Transparent copies include plain ASCII without markup,Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD,and standard-conforming simple HTML, PostScript or PDF designed for human modification.Examples of transparent image formats include PNG, XCF and JPG. Opaque formats includePostScript, PDF, proprietary formats that can be read and edited only by proprietary wordprocessors, SGML or XML for which the DTD and/or processing tools are not generally

available, and the machine-generated HTML, PostScript or PDF produced by some wordprocessors for output purposes only.

The « Title Page » means, for a printed book, the title page itself, plus such following pages asare needed to hold, legibly, the material this License requires to appear in the title page. Forworks in formats which do not have any title page as such, « Title Page » means the text nearthe most prominent appearance of the work's title, preceding the beginning of the body of thetext.

A section "Entitled XYZ" means a named subunit of the Document whose title either isprecisely XYZ or contains XYZ in parentheses following text that translates XYZ in anotherlanguage. (Here XYZ stands for a specific section name mentioned below, such as"Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title"of such a section when you modify the Document means that it remains a section "EntitledXYZ" according to this definition.

The Document may include Warranty Disclaimers next to the notice which states that thisLicense applies to the Document. These Warranty Disclaimers are considered to be includedby reference in this License, but only as regards disclaiming warranties: any other implicationthat these Warranty Disclaimers may have is void and has no effect on the meaning of thisLicense.

2. Verbatim Copying

You may copy and distribute the Document in any medium, either commercially ornoncommercially, provided that this License, the copyright notices, and the license noticesaying this License applies to the Document are reproduced in all copies, and that you add noother conditions whatsoever to those of this License. You may not use technical measures toobstruct or control the reading or further copying of the copies you make or distribute.However, you may accept compensation in exchange for copies. If you distribute a largeenough number of copies you must also follow the conditions in section 3.

You may also lend copies, under the same conditions stated above, and you may publiclydisplay copies.

http://www.chbcp.net/~pat/ipcop/admin/html/apas04.html






3. Copying In Quantity

If you publish printed copies (or copies in media that commonly have printed covers) of theDocument, numbering more than 100, and the Document's license notice requires CoverTexts, you must enclose the copies in covers that carry, clearly and legibly, all these CoverTexts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Bothcovers must also clearly and legibly identify you as the publisher of these copies. The frontcover must present the full title with all words of the title equally prominent and visible. Youmay add other material on the covers in addition. Copying with changes limited to the covers,as long as they preserve the title of the Document and satisfy these conditions, can be treatedas verbatim copying in other respects.

If the required texts for either cover are too voluminous to fit legibly, you should put the firstones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacentpages.

If you publish or distribute Opaque copies of the Document numbering more than 100, youmust either include a machine-readable Transparent copy along with each Opaque copy, orstate in or with each Opaque copy a computer-network location from which the generalnetwork-using public has access to download using public-standard network protocols acomplete Transparent copy of the Document, free of added material. If you use the latteroption, you must take reasonably prudent steps, when you begin distribution of Opaque copiesin quantity, to ensure that this Transparent copy will remain thus accessible at the statedlocation until at least one year after the last time you distribute an Opaque copy (directly orthrough your agents or retailers) of that edition to the public.

It is requested, but not required, that you contact the authors of the Document well beforeredistributing any large number of copies, to give them a chance to provide you with anupdated version of the Document.

4. Modifications

You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely thisLicense, with the Modified Version filling the role of the Document, thus licensingdistribution and modification of the Modified Version to whoever possesses a copy of it. In

addition, you must do these things in the Modified Version:

A. Use in the Title Page (and on the covers, if any) a title distinct from that of theDocument, and from those of previous versions (which should, if there were any, belisted in the History section of the Document). You may use the same title as aprevious version if the original publisher of that version gives permission.

B. List on the Title Page, as authors, one or more persons or entities responsible forauthorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has fewer thanfive), unless they release you from this requirement.

C. State on the Title page the name of the publisher of the Modified Version, as the

publisher.D. Preserve all the copyright notices of the Document.










E. Add an appropriate copyright notice for your modifications adjacent to the othercopyright notices.

F. Include, immediately after the copyright notices, a license notice giving the publicpermission to use the Modified Version under the terms of this License, in the formshown in the Addendum below.

G. Preserve in that license notice the full lists of Invariant Sections and required CoverTexts given in the Document's license notice.H. Include an unaltered copy of this License.I. Preserve the section entitled « History », Preserve its Title, and add to it an item

stating at least the title, year, new authors, and publisher of the Modified Version asgiven on the Title Page. If there is no section Entitled « History » in the Document,create one stating the title, year, authors, and publisher of the Document as given onits Title Page, then add an item describing the Modified Version as stated in theprevious sentence.

J. Preserve the network location, if any, given in the Document for public access to aTransparent copy of the Document, and likewise the network locations given in the

Document for previous versions it was based on. These may be placed in the« History » section. You may omit a network location for a work that was published atleast four years before the Document itself, or if the original publisher of the version itrefers to gives permission.

K. In any section Entitled « Acknowledgements » or « Dedications », Preserve the Titleof the section, and preserve in the section all the substance and tone of each of thecontributor acknowledgements and/or dedications given therein.

L. Preserve all the Invariant Sections of the Document, unaltered in their text and in theirtitles. Section numbers or the equivalent are not considered part of the section titles.

M. Delete any section Entitled « Endorsements ». Such a section may not be included inthe Modified Version.

N. Do not retitle any existing section to be Entitled « Endorsements » or to conflict intitle with any Invariant Section.

O. Preserve any Warranty Disclaimers.

If the Modified Version includes new front-matter sections or appendices that qualify asSecondary Sections and contain no material copied from the Document, you may at youroption designate some or all of these sections as invariant. To do this, add their titles to the listof Invariant Sections in the Modified Version's license notice. These titles must be distinctfrom any other section titles.

You may add a section Entitled « Endorsements », provided it contains nothing butendorsements of your Modified Version by various parties--for example, statements of peerreview or that the text has been approved by an organization as the authoritative definition of a standard.

You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version.Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (orthrough arrangements made `by) any one entity. If the Document already includes a cover textfor the same cover, previously added by you or by arrangement made by the same entity youare acting on behalf of, you may not add another; but you may replace the old one, on explicit

permission from the previous publisher that added the old one.



The author(s) and publisher(s) of the Document do not by this License give permission to usetheir names for publicity for or to assert or imply endorsement of any Modified Version.

cahier d’administration ipcop

Documents