Manuel d`Administration

Transcription

Manuel d'Administration
Chris Clancey
Harry Goldschmitt
John Kastner
Eric Oberlander
Peter Walker
par Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, et Peter Walker
Version française : Patrick Bernaud, Éric Boniface, Stéphane Chartier, Olivier Gey, Erwann Simon
Publié le 20 septembre 2004
Copyright © 2002-2004 Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, Peter Walker
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or
any later version published by the Free Software Foundation; with no Invariant Sections, with no Front-Cover Texts, and with no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License.
Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU
Free Documentation License), version 1.2 ou toute version ultérieure publiée par la Free Software Foundation ; sans Section Invariable ; sans
Texte de Première de Couverture, et sans Texte de Quatrième de Couverture. Une copie de la présente Licence est incluse dans la section
intitulée GNU Free Documentation License.
Table des matières
Avant-propos ........................................................................................................... vii
Mentions légales ............................................................................................... vii
Préface ............................................................................................................ vii
1. Introduction par le Chef de Projet ............................................................................... 1
Qu'est ce qu'IPCop ? ........................................................................................... 1
Aperçu des fonctionnalités ................................................................................... 1
Remerciements ................................................................................................... 2
2. Administration et Configuration .................................................................................. 5
Page d'accueil de l'interface d'administration .............................................................. 5
Pages de l'onglet Système .................................................................................... 7
Page Mises à jour ....................................................................................... 8
Page Mots de passe ..................................................................................... 9
Page Accès SSH ......................................................................................... 9
Page Interface Graphique ............................................................................ 13
Page Sauvegarde ....................................................................................... 15
Page Arrêter ............................................................................................. 17
Pages de l'onglet État ........................................................................................... 17
Page État du système ................................................................................... 18
Page État du réseau ..................................................................................... 20
Page Graphiques système .............................................................................. 21
Page Courbes de trafic ................................................................................. 22
Page Graphes du proxy ................................................................................ 23
Connexions ................................................................................................ 24
Pages de l'onglet Réseau .................................................................................... 24
Page Connexion ........................................................................................ 24
Page Chargement ...................................................................................... 27
Page Modem ............................................................................................ 28
Page Configuration alias externes ................................................................. 29
Pages de l'onglet Services ................................................................................... 29
Page Serveur mandataire (proxy) ................................................................. 30
Page Serveur DHCP .................................................................................. 31
Page DNS Dynamique ............................................................................... 38
Écran Hôtes statiques ................................................................................. 40
Page Serveur de temps ............................................................................... 42
Page Lissage du trafic (shaping) .................................................................. 43
Page Détection d'intrusion .......................................................................... 45
Pages de l'onglet Pare-feu ..................................................................................... 45
Quels sont les flux autorisés entre les différentes interfaces réseau d'IPCop ? ......... 46
Personnalisation par l'utilisateur ................................................................... 46
Page Transferts de ports ............................................................................. 47
Page Accès externes .................................................................................. 49
Page Accès à la DMZ ................................................................................ 50
Page Accès BLEU .................................................................................... 52
Page Options du firewall ............................................................................ 54
Pages de l'onglet RPVs ...................................................................................... 54
Virtual Private Networks (VPNs) ou Réseau Privé Virtuel (RPV) ....................... 54
Encadré Paramètres généraux ...................................................................... 54
Encadré Contrôle et statut de la connexion ..................................................... 55
Encadré Autorités de certification ................................................................. 57
Pages de l'onglet Journaux .................................................................................. 57
Introduction ................................................................................................ 57
Page Configuration des journaux .................................................................... 57
Page Résumé des journaux ......................................................................... 58
Page Journaux du serveur mandataire ............................................................ 59
Page Journaux du pare-feu .......................................................................... 60
iv
Page Journaux IDS .................................................................................... 61
Page Journaux système .............................................................................. 62
A. GNU Free Documentation License ............................................................................. 64
0. Preamble ........................................................................................................ 64
1. Applicability and Definitions ............................................................................. 64
2. Verbatim Copying ........................................................................................... 65
3. Copying In Quantity ........................................................................................ 65
4. Modifications .................................................................................................. 66
5. Combining Documents ..................................................................................... 67
6. Collections of Documents ................................................................................. 67
7. Aggregation With Independent Works ................................................................. 68
8. Translation ..................................................................................................... 68
9. Termination .................................................................................................... 68
10. Future Revisions of This License ...................................................................... 68
v
Liste des illustrations
2.1. Accès SSH et clés d'hôte SSH .................................................................................
2.2. Configuration de l'interface graphique .......................................................................
2.3. Sauvegarde de la configuration ...........................................................................
2.4. Arrêt et planification des redémarrages .....................................................................
2.5. Paramétrages PPP .................................................................................................
2.6. Chargement des firmwares des modems ....................................................................
2.7. Paramétrage Modem ..............................................................................................
2.8. Paramétrages des alias externes ...............................................................................
2.9. Options additionnelles DHCP ..................................................................................
2.10. Ajout d'un nouveau bail fixe ..................................................................................
2.11. Liste des baux fixes .............................................................................................
2.12. Baux dynamiques en cours ....................................................................................
2.13. Paramètres du DNS dynamique ..............................................................................
2.14. Écran d'ajout d'un nom d'hôte ................................................................................
2.15. Liste des hôtes configurés .....................................................................................
2.16. Paramétrage du serveur de temps ...........................................................................
2.17. Mise à jour manuelle de l'heure .............................................................................
2.18. Configuration du lissage de trafic ...........................................................................
2.19. Configuration de la détection d'intrusion ..................................................................
2.20. Flux IP ..............................................................................................................
2.21. Paramétrage des transferts de ports .........................................................................
2.22. Configuration des accès externes ............................................................................
2.23. Paramétrage des accès depuis la DMZ .....................................................................
2.24. Paramétrage de l'accès BLEU ................................................................................
2.25. Options du pare-feu .............................................................................................
2.26. Paramètres généraux du VPN ................................................................................
2.27. Encadré de contrôle et de statut : vue initiale ............................................................
2.28. Sélection du type de connexion VPN ......................................................................
2.29. Saisie d'une connexion VPN Serveur-à-Réseau ..........................................................
2.30. Paramètres d'une connexion VPN Réseau-à-Réseau ....................................................
2.31. Paramètres pour l'authentification ...........................................................................
2.32. Autorités de certification : vue initiale .....................................................................
2.33. Configuration des journaux ...................................................................................
2.34. Affichage du résumé des traces ..............................................................................
2.35. Affichage des traces du serveur mandataire ..............................................................
2.36. Affichage des traces du pare-feu ............................................................................
2.37. Affichage des traces de l'IDS .................................................................................
2.38. Affichage des traces système .................................................................................
vi
10
14
17
26
27
28
29
34
36
37
38
39
41
41
42
43
44
45
46
48
50
51
53
54
54
55
55
55
56
56
57
58
58
60
61
62
63
Avant-propos
Mentions légales
IPCop est sous Copyright du IPCop Linux Group.
IPCop Linux est couvert par la GNU General Public License. Pour plus d'informations, consultez le
site web d'IPCop. [http://www.ipcop.org] Vous avez le droit de copier tout ou partie de ce document
du moment que cette déclaration de copyright accompagne la copie. Les informations contenues dans
ce document sont susceptibles de changer d'une version à l'autre.
Tout a été fait pour que le contenu de ce document soit exact et à jour. Cependant l'absence d'erreur ne
peut être garantie. De ce fait, IPCop décline toute garantie explicite ou implicite quant aux éventuelles
erreurs contenues dans ce manuel et aux dégâts qu'elles pourraient entraîner sur la disponibilité ou la
performance du produit.
L'usage dans ce document de noms dans un sens général, de noms d'entreprises, de noms de marques,
etc ne signifie pas que leur usage est « libre » selon les termes de la législation sur les marques et
qu'ils peuvent être utilisés par tous.
Tous les noms de marques sont utilisés sans garantie de libre utilisation et peuvent être des marques
enregistrées. En règle générale, IPCop se conforme à la notation adoptée par le fabricant. Les autres
produits mentionnés peuvent être des marques enregistrées par leurs fabricants respectifs.
Première Édition - 29 décembre 2001
Rédacteur - Charles Williams.
Je souhaite remercier toutes les personnes qui ont vérifiées et corrigées ce document, à savoir : Harry
Goldschmitt, Mark Wormgoor, Eric S. Johansson et le reste du groupe IPCop Linux.
Seconde Édition - 10 janvier 2003
Rédacteurs - Chris Clancey, James Brice, Harry Goldschmitt, and Rebecca Ward.
Troisième Édition - 25 avril 2003
Rédacteurs - Chris Clancey, Harry Goldschmitt, and Rebecca Ward.
Quatrième Édition - 25 septembre 2004
Rédacteurs - Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander and Peter Walker.
Préface
Bonjour. Au nom de notre Chef de Projet, Jack Beglinger, l'équipe de Documentation vous souhaite
la bienvenue dans ce Manuel d'Administration d'IPCop. Nous profitons d'ailleurs de ce document
pour vous remercier d'évaluer notre pare-feu et nous espérons qu'il satisfait à vos besoins. L'équipe
veut également remercier, pour sa présence et sa précieuse assistance aux utilisateurs novices ou
expérimentés, la communauté bâtie autour d'IPCop Linux. Nous souhaitons enfin remercier l'équipe
SmoothWall pour avoir fait naître cette communauté.
Que vous soyez un utilisateur convaincu mettant à jour son installation ou bien un nouvel utilisateur
préparant sa première installation, nous espérons que vous trouverez dans ces pages tout ce qui vous
est nécessaire pour prendre en main votre nouvel IPCop. Si, pour une raison ou pour une autre, quelque
chose n'est pas traité ici et que vous estimez qu'il le devrait, prenez contact avec nous pour nous le
faire savoir. Nous aimons avoir un retour de nos utilisateurs (en réalité, certains parmi nous sont seuls,
assis derrière leur écran à longueur de journées : un petit message ne peut que leur faire plaisir) et
vii
Avant-propos
nous ferons de notre mieux pour vous satisfaire. Vous pouvez maintenant vous relaxer et profiter
pleinement de l'Internet sans souci.
Voici tout de même quelques pistes pour celles et ceux qui ne souhaitent pas prendre le temps de lire
ce manuel et sont trop impatients de pouvoir utiliser leur IPCop. La première version d'IPCop était en
fait une version intermédiaire pour nous permettre d'identifier les problèmes de la distribution IPCop
Linux. Nous en sommes maintenant à la troisième publication réelle. S'il vous arrivait de découvrir
un problème, commencez par vérifier qu'il n'est pas traité dans la Foire Aux Questions d'IPCop. Nous
faisons notre possible pour maintenir à jour cette FAQ à chaque nouveau problème détecté et résolu
(que cela soit en le contournant temporairement ou en apportant une solution définitive).
Si votre problème ne trouve pas sa réponse dans la FAQ, il est toujours possible de nous rejoindre sur
IRC (serveur : irc.openprojects.net canal: #ipcop), d'appeler à l'aide sur une des listes de diffusion du
projet ou bien encore de contacter directement le groupe IPCop Linux pour assistance. Comprenez
bien que vous obtiendrez plus rapidement une réponse avec les trois premières méthodes. En effet,
le délai de réponse d'une requête envoyée directement au groupe IPCop Linux est proportionnel à la
charge du développement assuré par l'équipe.
Vous pourrez trouver de plus amples informations, des réponses aux questions fréquemment posées,
les adresses des listes de diffusion et les coordonnées complètes pour contacter le groupe IPCop Linux
sur notre site web : Site Web IPCop. [http://www.ipcop.org]
viii
Chapitre 1. Introduction par le Chef
de Projet
Bienvenue et merci d'évaluer ou d'utiliser IPCop.
Qu'est ce qu'IPCop ?
Eh oui, qu'est ce que c'est qu'IPCop ?
1. IPCop est un pare-feu et il le restera.
2. IPCop est une distribution Linux spécialisée, complète, adaptée et prête à protéger vos réseaux
informatiques. Elle est pour cela distribuée sous les termes de la GNU General Public License
[http://www.gnu.org/licenses/gpl.html] : son code source peut être téléchargé, évalué et même
modifié. Elle peut être entièrement recompilée par vos soins pour servir au mieux vos besoins
personnels ou répondre à des impératifs de sécurité particuliers.
3. IPCop est une communauté dont les membres s'entraident avec le souci de toujours faire progresser
le projet. Il peut s'agir d'expliquer à des débutants les bases des réseaux informatiques ou d'aider à
la personnalisation d'IPCop pour des besoins spécifiques tels que la téléphonie par Internet (VoIP)
et l'implantation d'IPCop en entreprise.
La réponse correcte à cette question piège est donc : les trois à la fois.
Motivations :
IPCop a été créé en réponse à plusieurs besoins. Le premier d'entre eux était le besoin d'une protection
sûre et efficace de nos réseaux qu'ils soient personnels ou d'entreprises. Lorsque le projet IPCop a été
lancé en octobre 2001, il existait déjà d'autres pare-feu. Mais l'équipe IPCop d'alors a considéré qu'ils
ne satisfaisaient pas à deux autres des besoins précédents : GPL et le sens de la communauté.
Le groupe fondateur d'IPCop a alors décidé de partir du code de base d'un pare-feu sous GPL et
de faire les choses différemment. L'objectif était de remanier ce code pour se mettre à l'écoute des
attentes de sa communauté d'utilisateurs. Parmi ces attentes se trouvaient celle de laisser à chaque
utilisateur la possibilité de créer son propre IPCop, celle de proposer et d'ajouter des améliorations et
celle d'apprendre grâce au travail des autres. C'est grâce à ces objectifs clairs, en étudiant l'existant et
en écoutant ses utilisateurs qu'IPCop a pu progresser et progresse toujours. Cette communauté permet
à IPCop de mûrir et IPCop l'aide à progresser.
Aujourd'hui, après près de deux ans et demi, la première révision majeure d'IPCop est publiée. Avec
elle, nombre de fonctionnalités intéressantes ont été ajoutées : le support de quatre réseaux, la détection
d'intrusion sur tous les réseaux et une nouvelle interface encore plus pratique n'en sont que quelques
exemples.
Encore une fois, soyez les bienvenus dans IPCop !
Jack Beglinger
Chef du Projet IPCop
Aperçu des fonctionnalités
• filtrage réseau par IPTable ;
• support des disques IDE, SCSI et CF (Disk on Chip) ;
1
Introduction par le Chef de Projet
• possibilité d'organisation du parc en quatre réseaux :
• VERT — Réseau interne de confiance ;
• BLEU — Réseau sans-fil, confiance limitée (peut également être utilisé en deuxième réseau
VERT) ;
• ORANGE — Zone délimitarisée (DMZ) pour les serveurs accessibles depuis l'extérieur ;
• RED — Réseau de connexion à l'Internet par :
• modem RTC
• ISDN
• carte d'interface réseau connectée à :
• un modem DSL,
• un modem-câble.
• USB connecté (avec les pilotes matériels appropriés) à :
• un modem DSL,
• un modem-câble.
• support de plusieurs « réelles » adresses IP sur le réseau ROUGE dans une configuration à IP statique
;
• client DHCP sur le réseau ROUGE pour obtenir l'adresse IP du FAI, avec en plus la gestion du
DNS dynamique au changement d'IP ;
• serveur DHCP sur les réseaux VERT et BLEU pour simplifier la mise en place et la maintenance
des réseaux ;
• client NTP pour le réglage automatique de l'heure de la machine IPCop et serveur NTP pour les
machines des réseaux VERT et BLEU ;
• sonde de détection d'intrusions sur TOUS les réseaux (ROUGE, ORANGE, BLEU et VERT) ;
• Réseau Privé Virtuel (RPV ou VPN) pour interconnecter plusieurs sites distants dans un unique
grand réseau logique ;
• serveur mandataire Web et DNS pour diminuer les temps de connexion et simplifier la gestion du
réseau ;
• administration de la machine, après installation, par une interface web sécurisée permettant :
• l'affichage des performances du processeur, de la mémoire et des disques ainsi que le trafic réseau
par des graphiques ;
• la visualisation des journaux d'évènement et l'archivage automatique de ces derniers ;
• le choix entre plusieurs langues.
• utilisation possible de matériel dépassé : 386 ou mieux. La version 1.4 a été testée avec succès sur
un 486sx25 disposant de 12Mo de RAM et 273Mo de disque dur. Il s'agissait de la plus ancienne et
la plus modeste des machines disponibles au moment du test. L'installation a été faite par le réseau.
Cette configuration s'est avérée tout à fait correcte pour une connexion par modem-câble à 3Mb/s.
Remerciements
IPCop est tout à la fois un projet collaboratif et un projet reposant sur des composants existants
de grande qualité. Ces remerciements sont adressés à nombre de personnes ayant aidé directement
ou indirectement, ainsi qu'à tous ceux, anonymes, qui ont permis le développement du projet mais
dont le nombre nous empêche de les lister ici. À ces derniers, j'adresse personnellement tous mes
remerciements et mes excuses pour l'absence de leur nom.
2
Pour tout le reste, merci… Une liste plus complète et à jour est consultable directement sur la page
Système#Crédits de votre IPCop.
Équipe principale
• Mark Wormgoor — Développeur Principal.
• Alan Hourihane — Développeur SMP & SCSI.
• Gilles Espinasse —.
• Harry Goldschmitt — Chef de l'Équipe de Documentation.
• Eric Oberlander — Développeur & Coordinateur Traductions.
Développeurs. Mark Wormgoor, Alan Hourihane, Eric S. Johansson, Darren Critchley, Robert
Kerr, Gilles Espinasse, Steve Bootes, Graham Smith, Robert Wood, Eric Oberlander, Tim Butterfield
et David Kilpatrick.
Équipe de documentation. Harry Goldschmitt, Chris Clancey, John Kastner, Eric Oberlander,
Peter Walker.
Équipes de traduction.
• Portugais brésilien : Edson-Empresa, Claudio Corrêa Porto, Adilson Oliveira, Mauricio Andrade,
Wladimir Nunes.
• Chinois (simplifié) : Vince Chu, Yuan-Chen Cheng, Sohoguard.
• Chinois (traditionnel) : Ronald Ng.
• Tchèque : Petr Dvoracek, Jakub Moc.
• Danois : Michael Rasmussen.
• Hollandais : Gerard Zwart, Berdt van der Lingen, Tony Vroon, Mark Wormgoor, Maikel Punie.
• Finois : Kai Käpölä.
• Français : Bertrand Sarthre, Michel Janssens, Erwann Simon, Patrick Bernaud, Marc
Faid'herbe, Eric Legigan, Eric Berthomier, Stéphane Le Bourdon, Stéphane Thirion, Jan M.
Dziewulski,spoutnik, Eric Darriak, Eric Boniface, Franck Bourdonnec.
• Allemand : Dirk Loss, Ludwig Steininger, Helmet, Markus, Michael Knappe, Michael Linke,
Richard Hartmann, Ufuk Altinkaynak, Gerhard Abrahams, Benjamin Kohberg, Samuel Wiktor.
• Grec : Spyros Tsiolis, A. Papageorgiou, G. Xrysostomou.
• Hongrois : Ádám Makovecz, Ferenc Mányi-Szabó.
• Italien : Fabio Gava, Antonio Stano, Marco Spreafico.
• Latino Spanish : Fernando Diaz.
• Lituanien: Aurimas Fi#eras.
• Norvégien : Morten Grendal, Alexander Dawson, Mounir S. Chermiti, Runar Skraastad, Alf-Ivar
Holm.
• Persan (farsi) : Ali Tajik, A T Khalilian.
• Polonais : Jack Korzeniowski, Piotr, Andrzej Zolnierowicz, Remi Schleicher.
3
• Portugais : Luis Santos, Renato Kenji Kano, Mark Peter, Wladimir Nunes, Daniela Cattarossi.
• Roumain : Viorel Melinte.
• Russe/ukrainien : Vladimir Grichina, Vitaly Tarasov.
• Slovaque : Milo# MrÃ¡z, Drlik Zbynek.
• Slovène : Miha Martinec, Grega Varl.
• Somalien : Mohamed Musa Ali.
• Espagnol : Curtis Anderson, Diego Lombardia, Mark Peter, QuiQue Soriano, David Cabrera
Lozano, Jose Sanchez, Santiago Cassina, Marcelo Zunino, Alfredo Matignon, Juan Janczuk.
• Suédois : Anders Sahlman, Christer Jonson.
• Thaï : Touchie.
• Turc : Ismail Murat Dilek, Emre Sumengen.
• Vietnamien : Le Dinh Long.
Autres projets et sociétés : Traverse Technologies — Improved Dual ISDN and DOV support,
Linux from Scratch (LFS) — base de code pour IPCop 1.4, FreeSwan et OpenFreeSwan — IPSec et
logiciel de VPN, Smoothwall — origine et source d'inspiration du projet, … ainsi que d'autres trop
nombreux pour les citer tous.
4
Chapitre 2. Administration et
Configuration
Page d'accueil de l'interface d'administration
Pour accéder à l'interface d'administration d'IPCop, il suffit d'ouvrir un navigateur et d'entrer en adresse
soit l'adresse IP de l'interface VERTE, soit le nom d'hôte du serveur IPCop, le tout suivi du numéro
de port 445 (https/secure) ou 81 (redirigé automatiquement vers 445) : https://ipcop:445 ou https://
192.168.10.1:445 ou http://ipcop:81 ou http://192.168.10.1:81.
Remarque : abandon de l'écoute sur le port 81 en HTTP
À compter de la version 1.4.0 d'IPCop, les connexions HTTP au port 81 sont
automatiquement redirigées sur le port 445 en HTTPS. Au moment de la conception d'IPCop,
il y a de cela quelques années, seule une poignée de navigateurs supportait le protocole
HTTPS. Le port 81 était utilisé par tous les autres. La plupart a maintenant disparu ou s'est
adaptée. La transmission en clair des mots de passe de votre IPCop étant par nature risqué, il
a été décidé d'abandonner les connexions HTTP. Pour les utilisateurs habitués au port 81, les
connexions sur ce port sont automatiquement redirigées sur HTTPS. Si vous utilisez encore
un navigateur ne supportant pas HTTPS, pensez à le mettre à jour ou à le remplacer.
Modification du numéro de port pour HTTPS
Dans certaines situations, il est nécessaire de changer le numéro de port servant aux
connexions sécurisées. Il s'agit d'éviter un conflit avec le port 445 utilisé par les Directory
Services (SMB sur TCP/IP) des versions récentes de Windows. Certains FAI bloquent
systématiquement ce port 445 pour raison de sécurité, c'est à dire pour empêcher la
propagation de virus.
Un utilitaire en ligne de commande du nom de setreservedports a été introduit avec la version
d'IPCop 1.4.8. Il permet de modifier le port sécurisé d'écoute de l'interface d'administration.
$ /usr/local/bin/setreservedports 5445
Même si le port numéro 5445 est suggéré dans l'exemple précédent, n'importe quel numéro
de port entre 445 et 65565 convient tout aussi bien. S'il vous arrivait d'oublier le numéro de
ce port, vous pouvez toujours utiliser le protocole non sécurisé HTTP et le port 81 : votre
requête est alors automatiquement redirigée.
La page d'accueil de l'interface d'administration de votre IPCop apparaît dans votre navigateur. Vous
pouvez d'ores et déjà explorer les différentes options et les informations disponibles par le biais de cette
5
Administration et Configuration
interface. Vous trouverez ci-dessous la liste des options principales de configuration/administration.
Lorsque vous vous sentirez suffisamment à l'aise avec le système, continuez avec les sections suivantes
de ce manuel.
Les pages web d'administration d'IPCop sont accessibles par des onglets en haut de l'écran :
• Système : Configuration du système et fonctions associées à IPCop.
• Etat : Présentation détaillée de l'état de plusieurs éléments de votre serveur IPCop.
• Réseau : Configuration/Administration de vos paramètres de connexion.
• Services : Configuration/Administration de nombreux services optionnels de votre serveur IPCop.
• Pare-feu : Configuration/Administration de la fonction pare-feu de votre serveur IPCop.
• RPVs : Configuration/Administration de votre éventuel Réseau Privé Virtuel.
• Journaux : Consultation de tous les journaux d'évènements générés par votre serveur IPCop (parefeu, sonde de détection d'intrusion, etc).
Cette page d'accueil est une des nombreuses pages qui diffère selon la configuration d'IPCop. Par
exemple, si votre connexion est de type Ethernet par l'interface ROUGE, la page d'accueil affiche
seulement le nom de la connexion courante.
En revanche, si votre connexion à l'Internet est de type PPP et en admettant que la configuration de la
connexion est correcte, trois boutons viennent compléter l'affichage précédent.
Note
Aucune connexion n'est affichée tant que vous n'avez pas fini de paramétrer votre serveur
IPCop.
6
Le nom de domaine pleinement qualifié de la machine IPCop apparaît dans le coin supérieur gauche
de la zone d'informations de connexion.
Boutons de gestion de la connexion
• Connexion - Lance une tentative de connexion à l'Internet.
• Déconnexion - Termine une connexion à l'Internet.
• Rafraîchir - Réactualise les informations données par la page d'accueil.
En plus des boutons décrits ci-dessus, le nom du « Profil actuel » utilisé pour la connexion est affiché.
Il est suivi d'une ligne donnant l'état actuel de la connexion. Ces états sont les suivants :
• Inactif - Pas de connexion à l'Internet et aucune tentative en cours.
• Connexion en cours... - Tentative de connexion à l'Internet en cours.
• Connecté - Actuellement connecté à l'Internet.
Si une connexion à l'Internet est en cours, l'état est complété par un message utilisant le motif suivant :
• Connecté ( #d #h #m #s)
• d=nombre de jours de connexion
• h=nombre d'heures de connexion
• m=nombre de minutes de connexion
• s=nombre de secondes de connexion
Au dessous de ce bloc d'information sur le profil courant et l'état de la connexion se trouve une ligne
du genre :
7:07pm up 1 day, 7:21, 0 users, load average: 0.03, 0.01, 0.00
Cette ligne représente la sortie de la commande Linux uptime. Elle affiche l'heure courante, le nombre
de jours/heures/minutes depuis le dernier redémarrage et le nombre d'utilisateurs connectés sur le
serveur IPCop. Les derniers nombres représentent la charge moyenne de la machine. Enfin, cette page
peut vous informer sur la disponibilité de mises à jour pour votre IPCop.
IPCop dispose de deux utilisteurs web en plus de l'utilisateur root sur la console. Le premier se nomme
admin. Grâce à cet identifiant, vous avez accès à tous les écrans de l'interface d'administration. L'autre
identifiant, nommé dial, n'est autorisé qu'à utiliser les boutons Connexion et Déconnexion. Par défaut,
l'utilisateur dial est désactivé ; pour l'activer vous devez lui assigner un mot passe. La consultation des
écrans d'accueil et d'information ne nécessitent pas d'authentification. Pour tous les autres, le mot de
passe de l'utilisateur admin est requis.
Pages de l'onglet Système
Cet ensemble de pages est conçu pour vous aider à administrer et contrôler votre serveur IPCop. Pour
y accéder, sélectionnez l'onglet Système dans la partie supérieure de l'écran. Vous avez alors le choix
entre :
• Accueil — pour retourner à la page d'accueil ;
• Mises à jour — pour rechercher et appliquer des correctifs à votre IPCop ;
7
• Mots de passe — pour changer le mot de passe de l'utilisateur admin, et éventuellement en assigner
un à l'utilisateur dial ;
• Accès SSH — pour activer et configurer l'accès sécurisé à votre IPCop par SSH ;
• Interface Graphique — pour activer ou désactiver l'utilisation de Javascript par l'interface
d'administration et en changer le langage ;
• Sauvegarde — pour sauvegarder les paramètres de configuration de votre IPCop, soit dans un
fichier, soit sur une disquette. Ces paramètres peuvent aussi être restaurés depuis cette page ;
• Arrêter — pour arrêter ou redémarrer votre IPCop ;
• Crédits — pour afficher la liste des nombreux volontaires et autres projets qui font d'IPCop ce qu'il
est.
Page Mises à jour
Cette page est composée de trois encadrés :
1. le premier affiche le niveau de mise à jour de la machine ;
2. le second informe de l'éventuelle disponibilité de correctifs ;
3. le dernier permet d'appliquer un correctif fourni.
IPCop vérifie automatiquement la disponibilité de correctifs lors de chacune de vos connexions
à l'Internet. Vous pouvez également lancer manuellement cette vérification en cliquant le bouton
Rafraîchir la liste des mises à jour. Pour chaque mise à jour disponible, une courte description
accompagnée d'un lien « Info » vers plus de détails s'affiche dans ce cadre. Suivez ce lien. Il vous
8
conduit vers une page donnant toutes les informations importantes concernant ce correctif avec un
nouveau lien pour le télécharger.
En le téléchargeant, il se retrouve sauvegardé sur la machine faisant tourner le navigateur, et non sur
la machine IPCop. Il est ainsi nécessaire de transférer le correctif vers la machine IPCop. Pour cela,
rendez-vous sur la page Mises à jour, utilisez le bouton Parcourir... pour rechercher et sélectionner le
correctif dans l'arborescence de la machine cliente avant de cliquer sur le bouton Upload pour appliquer
le correctif à votre serveur IPCop.
Note
Le navigateur Web Opera ne gère pas correctement les transferts : son utilisation devrait donc
être évitée pour ce qui est de l'application des correctifs de votre serveur IPCop.
Note
Seules les mises à jour IPCop officielles peuvent être installées sur votre serveur IPCop.
Certaines peuvent provoquer automatiquement un redémarrage de la machine, lisez donc très
attentivement la totalité de la description de chaque correctif avant de l'appliquer.
Page Mots de passe
La page Mots de passe vous permet de changer les mots de passe des utilisateurs admin et dial si vous
le jugez nécessaire. Tapez deux fois le nouveau mot de passe pour l'utilisateur concerné et cliquez
sur le bouton Enregistrer.
L'utilisateur dial est activé par l'assignation d'un mot de passe à son identifiant. Cet utilisateur
particulier est autorisé à se servir des boutons de la page Accueil de l'interface d'administration
d'IPCop. Il ne peut en revanche ni modifier, ni consulter les autres pages. Servez-vous de cet utilisateur
si vous possédez une connexion de type modem et que vous souhaitez autoriser vos utilisateurs à initier
les connexions à l'Internet sans posséder pour autant les droits de l'utilisateur admin.
Page Accès SSH
Cette page vous permet d'autoriser ou d'interdire l'accès distant à votre machine IPCop par SSH. En
cochant la première des cases, vous rendez possible l'accès distant par SSH. Plusieurs autres options
sont à votre disposition. L'accès SSH est désactivé par défaut et nous vous recommandons de ne
l'activer que lorsque vous en avez besoin et de le désactiver par la suite.
9
Figure 2.1. Accès SSH et clés d'hôte SSH
Tout comme le HTTP et le HTTPS de votre machine IPCop utilisent respectivement les ports nonstandard 81 et 445, le port attaché à SSH pour IPCop est le 222. Si vous vous servez d'une application
graphique pour l'accès à votre machine IPCop, pensez à spécifier le port 222 dans les options de
connexion. Si vous utilisez les commandes ssh, scp ou sftp et ce bien qu'elles soient proches, la
syntaxe pour indiquer le port est différente. En admettant que votre machine IPCop possède l'adresse
IP 192.168.254.1, les commandes s'écrivent :
SSH
$ ssh -p 222 [email protected]
SCP
$ scp -P 222 some/file [email protected]:
SFTP
$ sftp -o port=222 [email protected]
Reportez-vous aux pages de manuel sur votre machine cliente pour une explication complète de ces
commandes.
SSH
Depuis cette page, les options SSH suivantes sont disponibles :
Activé:
En cochant cette case, vous activez SSH. À moins de mettre
en place un accès externe, le servive n'est utilisable que depuis
le réseau VERT. Lorsque SSH est activé, toute personne ayant
connaissance du mot de passe root d'IPCop peut s'introduire sur
votre pare-feu et y obtenir une ligne de commande.
Support du protocole SSH version
1 (requis uniquement pour les
clients anciens)
En cochant cette case, les connexions de clients SSH
version 1 sont autorisées. L'activation de cette fonctionnalité
est fortement déconseillée. Il existe plusieurs vulnérabilités
connues avec SSH version 1. Son utilisation doit se limiter à
un accès temporaire et seulement si vous disposez de clients
version 1 sans possibilité de mise à jour en version 2. La plupart
10
des clients SSH, pour ne pas dire tous, supporte la version 2.
Aussi pensez à mettre à jour vos clients.
Autorise le transfert TCP
Le fait de cocher cette case vous permet de créer des tunnels
SSH chiffrés entre des machines protégées par le pare-feu et
des utilisateurs extérieurs.
Pourquoi utiliser cela alors qu'IPCop propose déjà un VPN ?
Imaginez. Vous êtes sur la route et quelque chose va mal sur l'un
de vos serveurs. Vous n'avez pas mis en place une connexion
VPN nomade. Si vous connaissez le mot de passe de votre
IPCop vous pouvez utiliser le transfert de port pour traverser
votre pare-feu IPCop et accèder au serveur en question qui se
trouve sur l'un des réseaux protégés. Les paragraphes suivants
expliquent comment faire cela en admettant qu'un serveur
telnet tourne sur la machine interne d'adresse IP 10.0.0.20.
L'hypothèse d'un système Linux comme machine distante est
également faite. La commande putty sous Windows propose
les mêmes fonctionnalités mais vous y accédez par des boîtes
de dialogue. Il est probable que vous ayez déjà effectué l'une
des premières étapes.
1. activez ou faites activer l'accès externe par le port 445, le
port de HTTPS ;
2. utilisez les pages d'administration d'IPCop pour autoriser
l'accès SSH, le transfert TCP et l'accès externe par le port
222 ;
3. créez un tunnel SSH entre la machine nomade et la machine
interne tournant un démon SSH par la commande :
$ ssh -p 222 -N -f -L 12345:10.0.0.20:23 root@ipcop
-p 222
IPCop écoute les
requêtes SSH sur le
port 222, pas le port
standard 22.
-N
Cette
option,
conjointement à -f,
demande à SSH de
se placer en tâche
de fond sans se
terminer. Si vous
utilisez cette option,
vous devrez vous
rappeler de tuer le
processus SSH pour
le terminer. Vous
pouvez aussi ajouter
sleep
100 à
la fin de la ligne
de commande et
supprimer l'option N. Dans ce dernier
11
cas, le SSH invoqué
par la commande ssh
se terminera après
100 secondes sans
que ni la session
telnet, ni le tunnel ne
se ferment.
-f
Cette option permet
de lancer SSH en
tâche de fond.
-L
Ceci indique à SSH
de monter un tunnel
en transfert de port
dont les paramètres
sont donnés à la
suite.
12345
Il s'agit du port
local à utiliser pour
le tunnel vers le
service distant. Il
doit être supérieur à
1024 sans quoi vous
devrez être root pour
l'utiliser.
10.0.0.20
Ceci est l'adresse
VERTE du serveur
distant.
23
Il s'agit du port
distant à utiliser.
Cette valeur de
port correspond au
service telnet.
[email protected]
Et pour finir, ce
paramètre indique
que
vous
allez
utiliser votre parefeu IPCop comme
agent de transfert
de
port.
Vous
devez disposer d'un
identifiant pour vous
logguer et seul
l'identifiant
root
est disponible sur
IPCop. Le mot de
passe correspondant
à cet utilisateur vous
sera demandé.
4. Enfin, identifiez-vous auprès du service telnet distant en
utilisant le tunnel.
12
$ telnet localhost 12345
localhost est le nom de la machine que vous utilisez.
L'adresse loopback 127.0.0.1 correspond à localhost. 12345
est le port local du tunnel spécifié lors de sa création.
Un tutoriel (en anglais) sur le transfert de port pour SSH
est disponible chez Dev Shed [http://www.devshed.com/c/a/
Administration/Secure-Tunnelling-with-SSH/].
Permettre l'authentification par
mot de passe
Cette option permet d'autoriser les utilisateurs à s'identifier sur
le serveur IPCop en utilisant le mot de passe root. Si vous
décidez de ne pas autoriser cela, commencez par configurer
vos fichiers de clefs SSH et vérifiez attentivement que vous
parvenez à vous identifiez avec ces clefs.
Permettre l'authentification par clef
publique
En cochant cette case, SSH peut utiliser l'authentification
par clef publique. Il s'agit de la méthode recommandée
pour sécuriser votre IPCop vis-à-vis de l'accès SSH.
Cet article (en anglais) [http://open.itworld.com/4917/
LWD010410sshtips/page_1.html] discute de l'utilisation de
SSH-keygen pour générer des clefs RSA et de la façon de les
utiliser.
Clés d'hôtes SSH
Cet encadré liste les empreintes des clefs d'hôtes utilisées par le SSH d'IPCop. Elles permettent de
vérifier que la session est bien ouverte depuis la bonne machine. À la première ouverture de session
depuis une machine, l'une des ces empreintes est affichée par SSH. Il vous appartient alors de vérifier
que l'empreinte affichée par SSH correspond bien à l'une des clefs affichées ici.
Page Interface Graphique
Cette page permet de contrôler le fonctionnement et l'apparence des pages d'administration d'IPCop.
Après chaque modification il est nécessaire de presser le bouton Enregistrer.
Pour réinitialiser la configuration de l'interface graphique dans son état d'origine, utilisez le bouton
Restaurer les paramètres par défaut puis pressez le bouton Enregistrer.
13
Figure 2.2. Configuration de l'interface graphique
Affichage
Autoriser le javascript:
Les pages Web d'administration de la version 1.4.0 utilisent
largement Javascript pour en améliorer l'apparence et
l'ergonomie. Cependant, certains navigateurs ne fonctionnent
pas toujours correctement avec Javascript. Si cette case n'est
pas cochée, les menus déroulants de l'interface sont désactivés
et les éléments qu'ils contiennent normalement sont placés
horizontalement en haut de chaque page.
Afficher le nom de la machine
dans la barre de titre:
En cochant cette case, le nom d'hôte de la machine IPCop
est affiché en haut de chaque page. Si vous êtes chargé de la
maintenance de plusieurs machines IPCop, cela vous permet
à tout moment d'identifier la machine dont l'interface s'affiche
dans le navigateur.
Rafraîchissement automatique de
la page d'accueil
Par défaut la page d'accueil est mise à jour lorsque IPCop se
connecte à l'Internet. Un clic sur le bouton Rafraîchir recharge
cette page avec la durée de connexion mise à jour.
En activant cette option, la page d'accueil est automatiquement
rafraîchie toutes les 30 secondes de sorte que la durée de
connexion affichée est régulièrement mise à jour. De même si
la connexion est inactive, le message « En attente de connexion
à la demande » apparaît.
Choisissez la langue que vous
souhaitez voir IPCop utiliser:
Cette liste déroulante vous permet de spécifier, parmi les
34 langues disponibles, la langue utilisée par les pages
d'administration d'IPCop.
Vous avez aussi la possibilité de sélectionner cette langue
durant l'installation. Cependant, il peut ne pas être disponible à
l'installation. L'équipe de traduction d'IPCop espère en ajouter
de nouveaux grâce à l'appui de volontaires. L'ajout d'une
nouvelle langue se fait lors d'une mise à jour classique du
système.
14
Évidemment,
vous
pouvez
vouloir
traduire
par
vous-même
IPCop
dans
une
autre
langue.
Pour
ce
faire,
nous
vous
serions
gré
de
commencer
par
contacter
le
Coordinateur
des
Traductions d'IPCop, Eric Oberlander à l'adresse
e-mail <[email protected]>.
Il
se
peut
qu'une
traduction
soit
déjà
en
cours
pour
cette
langue.
Reportez-vous
au
document
IPCop
How
To
Translate
(en
anglais)
[http://www.ipcop.org/
modules.php?op=modload&name=phpWiki&file=index&pagename=HowToTra
pour de plus amples informations.
Bips d'avertissement
Bips de connexion/déconnexion
Par défaut, votre machine IPCop émet un signal sonore
lors d'une connexion et le même signal doublé lors d'une
déconnexion.
Pour un fonctionnement silencieux, décochez cette case.
Cette option ne concerne pas les mélodies de démarrage et
d'arrêt de la machine.
Page Sauvegarde
Version 1.4.11
La page Sauvegarde a subi une refonte complète. Parmi les changements introduits se trouvent :
• la sauvegarde sur clé USB.
• pour des raisons de sécurité, l'abandon des sauvegardes non chiffrées.
• l'exportation de la clé de sauvegarde backup.key.
La clé est protégée à l'aide du mot de passe de l'utilisateur « backup » pour la réinstallation et le
fichier de clé inclut désormais le nom d'hôte.
• l'ajout du nom d'hôte et de la date de sauvegarde dans le fichier backup.dat.
Avant de réinstaller, effacez cette date du nom du fichier de sauvegarde à utiliser.
Un champ vous permet d'ajouter un commentaire à chaque sauvegarde. Ce commentaire sera
restauré au chargement de la sauvegarde.
• l'amélioration de la sauvegarde sur disquette.
La taille réelle de la sauvegarde est indiquée. De même le processus vérifie que la taille de la
sauvegarde ne dépasse pas la capacité du support. Enfin il affiche les erreurs rencontrées parmi
lesquelles l'absence de disquette dans le lecteur ou une disquette défectueuse.
Sauvegarde de la configuration sur disquette
La partie haute de cet encadré de la page Sauvegarde vous permet d'effectuer une sauvegarde de votre
configuration sur disquette. La seule façon de restaurer une telle configuration consiste à réinstaller
votre IPCop depuis un CD-ROM ou depuis un serveur HTTP/FTP. Vous aurez très tôt dans le
processus d'installation la possibilité de fournir cette disquette. Les paramètres de configuration seront
récupérés et l'installation se terminera.
15
Insérez une disquette dans le lecteur de la machine IPCop et cliquez sur le bouton Sauvegarde sur
disquette. Les paramètres de la configuration courante sont copiés sur la disquette. Le processus
s'assure du bon déroulement de l'écriture.
Information
Tous les messages d'erreur et les différentes informations générées lors de l'opération de création de
la sauvegarde sont affichés dans la partie basse de l'encadré.
Sauvegarde dans des fichiers
Le reste de l'encadré vous permet de créer plusieurs jeux de sauvegardes et de sélectionner un support
sur lequel transférer les fichiers ainsi créés. Le support par défaut est le disque dur de la machine
IPCop mais d'autres supports amovibles tels que les clés USB sont reconnus.
Pour des raisons de sécurité, les sauvegardes créées à partir de la page Sauvegarde sont chiffrées avec
le mot de passe de l'utilisateur « backup ». Saississez ce mot de passe dans le champ Mot de passe de la
sauvegarde et cliquez sur le bouton Exporter la clé de sauvegarde pour récupérer la clé de sauvegarde.
Cette clé est nécessaire pour installer depuis une clé USB ou encore pour restaurer une configuration
suite à une panne de disque dur.
Pendant la procédure d'installation d'IPCop, elle vous est demandée pour restaurer une configuration
depuis une sauvegarde.
Mot de passe de la sauvegarde
Vous devez indiquer dans ce nouveau champ le mot de passe de l'utilisateur « backup ». Avec
une installation récente, vous avez déjà spécifié ce mot de passe. En revanche si l'installation
est plus ancienne et progressivement mise à jour, vous devrez relancer le programme setup
pour initialiser ce mot de passe.
Pour ce faire, ouvrez une session super utilisateur sur votre machine IPCop soit directement
depuis la console, soit par le réseau en SSH sur le port 222.
Lancez le programme de configuration en tapant setup sur la ligne de commande.
Sélectionnez Mot de passe 'backup' dans la liste et tapez le nouveau mot de passe. Celui-ci
doit comporter au minimum 6 caractères. Quittez le programme et terminez la session.
Récupérer la clé de sauvegarde
Pour obtenir la clé de sauvegarde :
1.
Initialisez le mot de passe de l'utilisateur « backup ».
2.
Saisissez ce mot de passe dans le champ Mot de passe de la sauvegarde de la page Sauvegarde.
En cliquant sur le bouton Exporter la clé de sauvegarde, la clé est exportée dans un fichier dont
vous avez à choisir l'emplacement où l'enregistrer.
3.
Créez et exportez le fichier d'extension .dat (il n'est pas nécessaire d'entrer le mot de passe
« backup » pour cela).
Vous avez maintenant en votre possession tout le nécessaire pour installer et paramétrer à
l'identique un nouveau système à partir d'une clé USB ou d'un serveur HTTP/FTP.
4.
Transférez le fichier d'extension .dat, après avoir supprimer l'horodatage dans son nom, ainsi
que le fichier de clé sur le support d'installation (clé USB ou serveur HTTP/FTP). La restauration
de la configuration ainsi sauvegardée est automatique à l'installation à condition de fournir le mot
de passe « backup » et le nom d'hôte correspondant aux données chiffrées dans le fichier .dat.
16
Page Arrêter
Cette page permet soit d'Arrêter soit de Redémarrer le serveur IPCop. Cliquez sur le bouton
correspondant à l'action souhaitée et voilà. Il est aussi possible de planifier un redémarrage ou un arrêt
à une certaine heure par la mise en place d'un « cronjob ».
Figure 2.4. Arrêt et planification des redémarrages
Arrêt
Utilisez l'un des boutons Redémarrer ou Arrêter pour immédiatement redémarrer ou arrêter votre
serveur IPCop.
Programmation des redémarrages d'IPCop
La possibilité de programmer les arrêts et redémarrages a été introduite avec la version 1.4.10. Un
« cronjob » est ajouté au crontab de l'utilisateur root. Pour un redémarrage régulier une fois par
jour, sélectionnez l'heure depuis le menu déroulant et cochez le ou les jours de semaine souhaités.
Sélectionnez ensuite l'action souhaitée (Redémarrer ou Arrêter) avant de presser le bouton Enregistrer.
Enfin pour supprimer un redémarrage ou un arrêt programmé, décochez toutes les cases et pressez
le bouton Enregistrer.
Pages de l'onglet État
Cet ensemble de pages vous donne des informations et des statistiques quant au fonctionnement de
votre serveur IPCop. Pour y accéder, sélectionnez l'onglet État dans la partie supérieure de l'écran.
Les pages suivantes sont disponibles :
• État du système
• État du réseau
17
• Graphiques système
• Courbes de trafic
• Graphes du proxy
• Connexions
Page État du système
Cette page rassemble un certain nombre de données utiles à l'évalutation de l'état actuel de votre
serveur IPCop au travers des encadrés suivants :.
Services
Services - Affiche les services actuellement en fonctionnement.
Mémoire
Mémoire - Renseigne sur le niveau d'utilisation de la mémoire et de la partition d'échange (swap) de
votre serveur IPCop.
Utilisation du disque
Utilisation du disque - Informe de l'organisation en partitions du disque dur de votre machine IPCop
et du niveau de remplissage de chacune.
18
Durée de fonctionnement et utilisateurs
Durée de fonctionnement et utilisateurs - Affiche la sortie de la commande uptime et liste les
utilisateurs actuellement connectés à votre IPCop.
Modules chargés
Modules chargés - Donne une liste des modules chargés et en cours d'utilisation par le noyau GNU/
Linux.
Version du noyau
Version du noyau - Informe sur le noyau IPCop lui même.
19
Page État du réseau
En cours de rédaction...
Interfaces
Cet encadré affiche des informations sur toutes les interfaces réseau de votre machine IPCop. Y
compris les interfaces de type PPP, IPSec, Loopback, etc.
Contenu en cours de vérification...
Baux DHCP en cours
Si le service DHCP est actif, cet ancadré reprend le contenu du fichier /var/state/dhcp/
dhcpd.leases. Tous les baux actifs concédés par le serveur DHCP d'IPCop sont listés. Pour chaque
entrée, la date d'expiration du bail est affichée de même que le nom de la machine si ce dernier est
connu.
20
Les baux ayant expirés sont rayées.
Note
Cette page n'est visible que si le service DHCP a été activé. Voyez la section sur le serveur
DHCP pour plus de détails.
Entrées de la table de routage
Entrées dans la table ARP
Page Graphiques système
En cliquant sur l'un des quatre graphiques (utilisation CPU, mémoire, swap et accès disque) de cette
page, vous avez la possibilité de visualiser le relevé de la grandeur sur l'espace d'un jour, une semaine,
un mois et une année.
21
Page Courbes de trafic
Cette page affiche un relevé des trafics traversant votre serveur IPCop.
Une courbe est disponible pour chaque interface réseau de votre IPCop (VERT, ROUGE, BLEU,
ORANGE). Elle représente le relevé du trafic entrant et sortant pour cette interface.
En cliquant sur une courbe, vous obtenez une nouvelle page présentant le même relevé mais sur
l'espace d'un jour, d'une semaine, d'un mois et d'une année.
Note
Lors du développement de la version 1.4.0, il a été mis en évidence que l'outil rrdtool,
utilisé pour créer les graphiques, n'était pas capable de gérer les caractères spéciaux ce qui
s'avère être gênant pour les langages dépendant du jeu de caractères UTF-8. C'est pourquoi,
en attendant de trouver une solution, les textes sur les graphiques ne sont pas traduits.
Les courbes de trafic ne s'affichent pas
Ces courbes sont générées par un script lancé toutes les cinq minutes grâce à une tâche cron.
Si elles ne s'affichent pas, vérifiez que l'heure de la machine est correcte et recherchez dans
la section cron des journaux systèmes les traces du fonctionnement du script. Si vous n'en
trouvez pas, essayez de relancer le programme fcron en ouvrant une session super utilisateur
et en exécutant la commande « fcrontab -z ».
Ou bien encore lancez manuellement le script makegraphs pour voir si il ne génère pas de
message d'erreur. Pour cela, ouvrez une session super utilisateur et exécutez « makegraphs »
depuis la ligne de commande.
22
Page Graphes du proxy
Cette page affiche le trafic via le serveur proxy ou serveur mandataire Web d'IPCop. La première
section donne la date et l'heure de création du graphique. Suivent le nombre de lignes analysées, la
durée de l'analyse et la vitesse d'analyse (en ligne par seconde). Enfin, les dates et heures de début et
de fin du graphique ainsi que le domaine (taille totale du graphique) sont indiqués.
Ce graphique vous permet de contrôler le bon dimensionnement du serveur mandataire au regard de
la charge à tenir.
Note
Les journaux d'évènements doivent être activés sur la page d'administration du serveur
mandataire sans quoi les graphiques ne seront pas générés.
23
Connexions
IPCop utilise les fonctionnalités de Netfilter ou d'IPTables pour créer un pare-feu à état (stateful
firewall). Ce type de pare-feu conserve une trace des connexions pour lesquelles des machines des
réseaux VERT, BLEU et ORANGE sont en jeu. Il utilise pour cela à la fois les adresses IP source
et destination des flux, les numéros de ports de même que l'état de la connexion elle-même. Dès lors
qu'une connexion mettant en jeu des machines protégées a été établie, seuls sont autorisés à traverser
le pare-feu IPCop les paquets TCP/IP cohérents avec l'état actuel de cette connexion .
L'encadré Suivi des connexions IPTables donne une liste des connexions connues d'IPTables en entrée
et en sortie de votre IPCop. Chaque connexion fait l'objet d'une entrée dans cette liste. L'interface
à laquelle appartient chacune des extrémités est représentée par un code de couleur fonction de son
emplacement sur le réseau La légende de ce codage est rappelée en haut de la page.
En cliquant sur une adresse IP de cette liste, vous lancez une recherche DNS inverse.
Pages de l'onglet Réseau
Page Connexion
Cette page se compose de cinq encadrés distincts qui ne vous seront utiles que si vous accédez à
l'Internet par un modem analogique, un dispositif RNIS ou une connexion DSL.
Notez que vous ne pouvez pas choisir ou modifier un profil lorsqu'une connexion est active ou en
cours d'établissement. Avant de vous servir de cette page, vérifiez l'état de connexion de votre IPCop
en vous rendant sur la page d'accueil de l'interface d'administration. Si cette page affiche Connecté
ou En cours de connexion, vous devez commencez par cliquer sur le bouton Déconnexion avant de
revenir sur la page précédente. Après avoir paramètré ou sélectionné un profil, retournez sur cette page
d'accueil et utilisez le bouton Connexion pour rétablir une connexion à l'Internet.
Profils. Cet encadré vous permet de nommer et ajouter de nouveaux profils de connexion (dans la
limite de cinq), de supprimer un profil ou bien encore de modifier les paramètres d'un profil particulier.
Sélectionnez un profil à créer ou à modifier dans la liste déroulante. Complétez ou modifiez les
paramètres pour ce profil à l'aide des autres encadrés de cette page (voir ci-dessous) avant de cliquer
sur le bouton Enregistrer. Pour indiquer le profil par défaut, c'est à dire le profil qui sera utilisé lors des
futures connexions à l'Internet, choisissez-le dans la liste déroulante et cliquez le bouton Sélectionner
en bas de page. Le bouton Restaurer permet quant à lui de rétablir les paramètres sauvegardés d'un
profil.
Connexion. Cet encadré vous permet de :
1. sélectioner l'Interface appropriée à votre connexion à Internet. Pour un modem analogique ou une
carte ISDN, choississez le port de communication adapté (COM1 - COM4). Pour les connexions
de type DSL, l'interface doit être de type PPPoE.
24
2. choisir le Débit des données de l'ordinateur au modem. Ce paramètre fixe la vitesse de transfert entre
votre machine IPCop et le périphérique de connexion. Avec des systèmes ou des modems un peu
anciens, il peut être nécessaire de spécifier un débit assez faible pour garantir une communication
fiable entre l'ordinateur et le modem.
3. entrer le Numéro de téléphone fourni par votre fournisseur d'accès. Avec une connexion de type
PPPoE, ce champ sera vraisemblablement laissé vide.
4. choisir ou non de laisser le Haut-parleur du modem actif. Vous pourrez entendre la négociation de
la connexion entre votre machine et votre fournisseur d'accès si vous cochez cette case, ce qui peut
vous aider à diagnostiquer un éventuel problème. Cette option n'est utile que si vous posséder une
connexion à l'Internet par modem analogique.
5. choisir le Mode d'appel. Utilisez l'appel par tonalité sauf si votre ligne téléphonique ne reconnaît
qu'une numérotation par impulsion. Cette dernière est sensiblement plus lente que la numérotation
par tonalité.
6. indiquer le Nombre maximum d'essais avant l'abandon de la tentative. Ceci correspond au nombre
de fois qu'IPCop essaiera de se connecter à l'Internet après une première tentative restée vaine.
7. spécifier la Durée maximale d'inactivité. Cette valeur permet à IPCop de décider que faire de votre
connexion à l'Internet lorsque rien n'est ni envoyé ni reçu. Dans un tel cas, IPCop attendra cette
durée avant de clore la connexion automatiquement. En fixant ce champ à 0, vous empêchez IPCop
de fermer la connexion de lui-même.
8. demander une connexion Persistante pour faire en sorte qu'IPCop maintienne une connexion même
en l'absence d'activité sur le lien. Dans ce mode, IPCop essayera de se reconnecter chaque fois que
la connexion est coupée, quelle qu'en soit la raison. Soyez prudent avec cette option : si vous payez
votre abonnement au temps de connexion, vous souhaiterez très probablement la laisser inactive.
En revanche avec une connexion à temps illimité (souvent appelée "flatrate"), elle vous servira
à maintenir active votre connexion. Notez que même en mode persistant, IPCop cessera toute
tentative dès lors que leur nombre atteint la valeur du champ nombre maximum d'essais. Auquel cas
il est nécessaire d'utiliser le bouton Connexion de la page d'accueil de l'interface d'administration.
9. demander une Connexion sur demande. Après avoir choisi ce mode de connexion vous devez
utiliser une dernière fois le bouton Connexion de la page d'accueil de l'interface d'administration
avant qu'IPCop s'en charge pour vous dès lors qu'il détectera une activité. Ce mode n'est pas
disponible pour les connexions de type PPPoE.
10.faire en sorte qu'IPCop établisse une Connexion sur requête DNS c'est à dire lorsqu'il reçoit une
reguête de résolution de nom. Il s'agit le plus souvent du comportement espéré par l'utilisateur.
11.permettre à IPCop de lancer automatiquement une connexion après un redémarrage si le mode
Connexion à la demande n'a pas été activé. Et même dans le cas contraire, il peut être intéressant
d'utiliser cette option. Elle permet en effet, avec l'ensemble des éléments de configuration, de placer
le système IPCop dans le mode d'attente d'une connexion à la demande à chaque démarrage ou
redémarrage de la machine.
12.faire en sorte que votre modem émette un retour chariot pour signaler à votre FAI une fin de
transmission. Si tel est le cas, laissez cochée la case Un retour chariot (CR) est requis par le FAI.
Sinon vous pouvez décocher cette case. Par défaut elle est cochée.
Configuration avancée PPPoE - si le mode de connexion est PPPoE ou ADSL USB, vous trouverez,
dans cet encadré, des éléments spécifiques de configuration. Parmi ceux-ci deux paramètres, le nom du
service et le nom du concentrateur qui peuvent être nécessaires à votre FAI. Laissez vide ces champs
si votre FAI n'en a pas besoin ou s'il ne vous les a pas communiqué. Avec une connexion USB ADSL,
votre FAI doit vous transmettre deux valeurs, VPI et VCI, que vous devez entrer dans les champs
correspondants.
Authentification . Les champs Nom d'utilisateur et Mot de passe vous permettent de saisir les
identifiants fournis par votre fournisseur d'accès lors de l'abonnement. Il existe plusieurs techniques
25
d'authentification auprès d'un FAI préalable à une connexion. Les plus communes sont les méthodes
par PAP et CHAP. Sélectionnez celle que votre FAI utilise. Si il utilise un script de connexion,
choississez plutôt script d'identification standard dans la liste. Pour les résidents du Royaume-Uni
qui ont pour FAI Demon Internet, un script spécial a été écrit. L'option autre script d'identification
est réservée aux personnes dont le FAI a des besoins particuliers. Si tel est votre cas, vous devrez
vous identifier sur la machine IPCop et créer un fichier dans /etc/ppp. Son nom doit être reporté
dans le champ nom du script. Ce fichier doit contenir des paires sur le format 'attend envoie' avec
le caractère de tabulation en séparateur. Dans ce fichier, les chaînes USERNAME et PASSWORD sont
remplacées respectivement par le nom d'utilisateur et le mot de passe. Vous pouvez prendre le fichier
demonloginscript du répertoire /etc/ppp en exemple et le modifier pour vos besoins.
DNS . Choisissez Automatique si votre FAI supporte la configuration automatique des serveurs
DNS, ce qui est fréquemment le cas aujourd'hui. Sinon vous devrez sélectionner Manuel et indiquer
les adresses des serveurs DNS primaire et DNS secondaire dans champs à droite. Ces adresses vous
ont été communiquées par votre FAI.
Figure 2.5. Paramétrages PPP
26
Page Chargement
Vous devez utiliser cette page pour transférer des pilotes matériels ou firmwares sur votre IPCop. Ces
firmwares sont nécessaires au support par IPCop de certains modems.
Figure 2.6. Chargement des firmwares des modems
Télécharger Speedtouch USB pilote matériel . Cet encadré vous permet de transférer sur votre
IPCop le fichier mgmt.o nécessaire aux modems USB Speedtouch. Le modem ne fonctionnera pas
sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez
le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dans
l'arborescence de votre machine. Ceci fait, cliquez le bouton Chargement KQD6_3.012 pour transférer
le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem ADSL USB pour vous
connecter à l'Internet.
Télécharger ECI ADSL Synch.bin pilote matériel . Cet encadré vous permet de transférer sur
votre IPCop le fichier synch.bin nécessaire aux modems ECI ADSL. Le modem ne fonctionnera pas
sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez
le fichier sur votre machine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dans
l'arborescence de votre machine. Ceci fait, cliquez sur le bouton Transférer synch.bin pour transférer
le fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem ECI ADSL pour vous
connecter à l'Internet.
Télécharger Fritz!DSL pilote matériel . Cet encadré vous permet de transférer sur votre IPCop
le fichier fcdsl.o nécessaire aux modems Fritz!DSL. Le modem ne fonctionnera pas sans ce fichier.
Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez le fichier sur votre
machine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dans l'arborescence de votre
machine. Ceci fait, cliquez sur le bouton Transférer fcdsl.o pour transférer le fichier sur votre IPCop.
Vous pouvez alors vous servir de votre modem Fritz!DSL pour vous connecter à l'Internet.
27
Page Modem
Configuration du Modem . Cet encadré ne vous est utile que si vous utilisez un modem analogique
pour vous connecter à l'Internet. Les valeurs par défaut de ces champs conviennent pour la plupart
des modems analogiques. Cependant, si vous rencontrez des problèmes de connexion, comparez ces
valeurs à celles indiquées dans le manuel utilisateur de votre modem. Aucun de ces champs n'est
obligatoire.
Initialisation - Ce champ est pré-rempli avec la chaîne standard d'initialisation des modems
compatibles Hayes. S'il s'avère que votre modem exige un paramétrage particulier, modifiez cette
chaîne.
Déconnexion - Ce champ contient par défaut la chaîne standard des modems compatibles Hayes
provoquant la déconnexion. Cependant, si votre modem utilise une autre chaîne, éditez ce champ.
Haut parleur activé - Ce champ contient par défaut la chaîne standard des modems compatibles Hayes
provoquant l'activation du haut-parleur. Si votre modem utilise une autre chaîne, éditez ce champ.
Haut parleur désactivé - Ce champ contient par défaut la chaîne standard des modems compatibles
Hayes désactivant le haut-parleur. Si votre modem utilise une autre chaîne, éditez ce champ.
Appel par tonalité - Ce champ contient par défaut la chaîne standard des modems compatibles Hayes
de numérotation par tonalité. Si votre modem et votre ligne téléphonique le permettent mais que vous
rencontrez des problèmes à la connexion, assurez-vous de la compatibilité de cette chaîne avec votre
modem.
Appel par impulsion - Ce champ contient par défaut la chaîne standard des modems compatibles
Hayes de numérotation par impulsion. Typiquement, vous n'avez pas à la modifier mais si votre ligne
téléphonique ne supporte pas la numérotation par tonalité, assurez-vous de la compatibilité de cette
chaîne avec votre modem.
Le seul champ de cet encadré qui ne peut être laissé vide est le champ Durée maximale pour
l'établissement de la connexion qui est exprimé en secondes. Sa valeur indique la durée pendant
laquelle IPCop doit maintenir sa tentative de connexion. Une fois ce délai écoulé, IPCop abandonne
cette tentative avant d'en relancer une nouvelle. La valeur par défaut convient dans la plupart des
cas. Mais si vous remarquez que la connexion est perdue en plein milieu de la phase de négociation
(activez le haut-parleur du modem pour entendre cette négociation), essayez d'augmenter légèrement
cette durée jusqu'à ce que la connexion s'établisse sans problème.
Figure 2.7. Paramétrage Modem
28
Page Configuration alias externes
Note
Cette page n'apparaît que si votre interface ROUGE est configurée en adresse IP fixe.
Dans certains cas, votre FAI peut vous fournir une plage d'adresses IP pour votre réseau.
Si vous avez plusieurs adresses IP , seulement, alors vous pouvez connecter plusieurs stations de
travail à Internet, vous n'aurez plus besoin des adresses supplémentaires. IPCop devrait se connecter
directement à votre modem ou à Internet.
D'une autre manière, si vous fournissez un serveur sur l'un de vos ordinateurs internes vous avez
besoin d'utiliser de multiples alias sur votre interface RED. Pour utiliser éfficacement ceci, vous devez
modifier en conséquence la table de routage d'IPCop à la main.
Figure 2.8. Paramétrages des alias externes
Ajouter un nouvel alias. partie en cours de rédaction...
Une fois les champs renseignés, cochez la case Activé avant d'appuyer sur le bouton Ajouter. Le
nouvel alias est alors pris en compte et se retrouve ajouté à la liste des alias enregistrés qui est affichée
dans l'encadré suivant.
Alias actuels . Cet encadré fournit une liste des alias enregistrés. Pour supprimer l'un d'eux,
cliquez sur l'icône représentant une « poubelle » associé à cet alias. Pour éditer, utilisez plutôt l'icône
représentant un « crayon ».
Pour activer un alias, cochez la case de l'entrée correspondante dans cette liste. L'alias est désactivé
lorsque la case est vide.
Pages de l'onglet Services
En plus de fournir les services de base d'un pare-feu, IPCop propose un certain nombre d'autres
fonctionnalités souvent utiles à un petit réseau. Elles sont facilement administrables depuis les pages
accessibles par l'onglet État, pages décrites par la suite.
IPCop permet ainsi d'ajouter à votre réseau :
29
• un serveur proxy (serveur mandataire Web)
• un serveur DHCP
• la gestion de DNS dynamique
• la possibilité d'éditer les hôtes (serveur DNS local)
• un serveur de temps
• une fonction de lissage du trafic
• un système de détection d'intrusion (IDS).
Pour un réseau plus important, ces services seront probablement fournis par une infrastructure dédiée.
Par conséquent il vous faudra désactiver les services équivalents proposés par IPCop.
Page Serveur mandataire (proxy)
Un proxy ou serveur mandataire Web est un programme qui effectue les requêtes de pages Web à
la place des machines de votre Intranet. Il sauvegarde les pages récupérées, de sorte que si plusieurs
machines demandent la même page, un seul accès à Internet est nécessaire. Si votre organisation utilise
fréquemment les mêmes sites, il vous permet d'économiser les accès à Internet.
Normalement, vous devez configurer les navigateurs Web des machines de votre réseau pour accéder
à l'Internet via le proxy. En lieu et place du couple nom/adresse du proxy, vous devez mettre celui
de votre IPCop. Vous devez aussi reporter dans la configuration de vos machines clientes le numéro
de port indiqué dans le champ Port serveur mandataire de cet encadré. Ce faisant, il reste possible de
passer outre le proxy. Mais vous pouvez aussi faire le fonctionner en mode « transparent » : aucune
configuration au niveau des navigateurs n'est nécessaire et le pare-feu redirige automatiquement tout
le trafic du port 80 - le port HTTP standard - vers le proxy.
30
Vous pouvez activer ce service pour le réseau VERT (réseau local), et/ou pour votre réseau BLEU
(Wifi). Cochez simplement la case correspondante.
Si vous décidez d'activer le serveur proxy, les accès Web peuvent être tracés en cochant la case
Journaux activés. Les accès réalisés via le proxy sont alors consultables sur la page Journaux du serveur
mandataire accessible depuis l'onglet Journaux.
Si votre Fournisseur d'Accès Internet (FAI) impose l'utilisation de son serveur proxy, spécifiez son
nom et son numéro de port dans les champs relatifs au serveur mandataire distant. Pour les cas où
une identification est nécessaire, vous pouvez indiquez votre nom d'utilisateur et votre mot de passe
respectivement dans les champs Nom d'utilisateur du serveur mandataire distant et Mot de passe du
serveur mandataire distant.
Squid ne reconnaît que les méthodes standards de requête HTTP. Les méthodes inconnues sont
bloquées à moins d'être présentes dans la liste extension_methods. Vous pouvez indiquer ici pas
moins de 20 méthodes additionnelles.
Par exemple, subversion [http://subversion.tigris.org/] fait usage de méthodes non standards
normalement bloquées par Squid. Pour permettre à subversion de traverser le serveur mandataire
transparent d'IPCop, vous devez ajouter REPORT, MKACTIVITY, CHECKOUT et MERGE à cette liste
extension_methods.
Gestion du Cache. Dans cette section, vous sélectionnez la quantité d'espace disque allouée au
cache des pages Web. Vous avez également la possibilité d'indiquer les tailles minimale et maximale
des objets à mettre en cache. La première est en générale égale à 0. La seconde est par défaut fixée à
4096ko. Pour des raisons de confidentialité, le proxy ne met pas en cache les pages reçues via https
ou celles nécessitant une authentification par nom d'utilisateur et mot de passe transmis dans l'URL.
Limites de transfert. Le proxy Web peut aussi servir à contrôler les accès Web de vos utilisateurs.
Le seul élément de contrôle disponible depuis l'interface d'administration est la taille maximum
des données reçues ou envoyées sur le Web. Vous pouvez utiliser ces valeurs pour empêcher vos
utilisateurs de télécharger de gros fichiers et ainsi trop consommer de bande passante. La valeur par
défaut pour ces champs est 0 et signifie qu'il n'y a pas de restriction sur la taille des tranferts.
Pour sauvegarder les changements de configuration, appuyez sur le bouton Enregistrer.
Il est possible à tout moment de vider le contenu du cache en utilisant le bouton Vider le cache.
Avertissement
Le cache du proxy peut occuper beaucoup d'espace sur votre disque. La taille minimale de
disque indiquée dans la documentation d'IPCop ne tient pas compte de l'espace alloué à ce
cache.
Plus le cache est gros, plus le proxy aura besoin de mémoire pour gérer ce cache. Ainsi si
vous avez une machine disposant de peu de mémoire, ne définissez pas un cache proxy trop
important.
Page Serveur DHCP
DHCP (Protocole de configuration dynamique des serveurs) vous permet de contrôler la configuration
réseau de toutes vos machines depuis votre serveur IPCop. Dès qu'une machine se connecte à
votre réseau, elle reçoit une adresse IP valide et ses configurations DNS et WINS sont établies
automatiquement. Pour cela, il faut que chaque machine soit configurée pour interroger un serveur
DHCP et obtenir ainsi sa configuration réseau.
31
Vous pouvez activer ce service pour le réseau VERT (réseau local), et/ou pour votre réseau BLEU
(Wifi). Cochez simplement la case correspondante.
Pour une explication détaillée sur le DHCP, vous pouvez lire l'article (en anglais) sur Linux Magazine
: « Network Nirvana - How to make Network Configuration as easy as DHCP » [http://www.linuxmag.com/2000-04/networknirvana_01.html].
Paramètres du serveur DHCP
Les paramètres DHCP suivants peuvent être configurés depuis la page Web :
Activé
Cochez cette case pour activer le serveur DHCP sur cette
interface.
Adresse IP/Masque réseau
L'adresse IP et le masque réseau de l'interface à laquelle cette
configuration doit s'appliquer sont rappelés ici pour référence.
Adresse de départ (optionnelle)
Vous pouvez spécifier la plage d'adresses IP que le serveur
pourra attribuer aux machines qui en font la demande Le
comportement par défaut est la gestion de l'ensemble des
adresses du réseau par le serveur DHCP. Si vous avez des
machines sur votre réseau qui n'utilisent pas le DHCP et qui ont
des adresses mises à la main, vous devez faire en sorte que la
plage d'adresses gérées par DHCP ne rentre pas en conflit avec
ces adresses.
Vous devez aussi vous assurer que les adresses associées à des
baux fixes (voir plus loin) ne sont pas comprises dans cette
plage.
32
Adresse de fin (optionnelle)
Ce champ définit l'adresse de fin de la plage d'adresses discutée
précédemment.
Note
Pour permettre au serveur DHCP d'attribuer des baux
d'adresses fixes mais pas de dynamiques, laissez les
deux champs Adresse de départ et Adresse de fin
vides. Par contre si vous indiquez une adresse de
départ vous devrez indiquer une adresse de fin et vice
versa.
Base IP utilisée pour création des
bail fixes (optionnelle)
La possibilité d'ajouter des baux fixes depuis la liste des baux
dynamiques a été introduite avec la version 1.4.12.
Vous pouvez indiquer une adresse IP à utiliser comme adresse
de base pour les nouveaux baux fixes.
Durée du bail par défaut
Ce champ peut garder sa valeur par défaut sauf si vous
avez besoin d'indiquer une autre valeur. Il correspond à la
durée pendant laquelle une attribution d'adresse IP est valide.
Avant que son bail n'arrive à terme, une machine en demande
le renouvellement en indiquant son adresse actuelle. Si des
éléments de configuration DHCP ont été modifiés depuis
l'obtention du dernier bail, ils sont propagés à la machine
cliente. En règle générale, les baux sont renouvellés par le
serveur.
Durée maximale du bail
Vous pouvez laisser la valeur par défaut, sauf si votre
configuration nécessite un réglage particulier. Cette valeur
correspond à la durée pendant laquelle le serveur DHCP honore
les requêtes de renouvellement des clients pour leur adresse
IP courante. Passé ce délai, les adresses IP des clients sont
changées par le serveur. Si la plage d'adresses IP dynamiques
a changé, le serveur fournit une adresse IP dans cette nouvelle
plage.
Suffixe de nom de domaine
(optionnel)
Le suffixe ne doit pas commencer par un point. Indiquez
dans ce champ le nom du domaine que le serveur DHCP
doit transmettre aux clients. Si une recherche d'un nom de
machine échoue, le client essayera de nouveau en rajoutant ce
nom de domaine au nom d'origine. Certains serveurs DHCP
de fournisseurs Internet (FAI) ajoutent automatiquement leur
nom de domaine par défaut, de sorte qu'il est possible de taper
« www » comme adresse de page d'accueil dans le navigateur
Web. Bien que « www » ne soit pas un nom pleinement qualifié,
votre ordinateur rajoutera le nom de domaine fourni par votre
FAI (en fait par son serveur DHCP) en suffixe, créant ainsi
un nom pleinement qualifié (FQDN). Si vous voulez que vos
utilisateurs continuent à utiliser la notation simple « www »,
reportez dans ce champ le suffixe de domaine de votre FAI.
Autoriser les clients bootp
Cochez cette case pour permettre aux clients BOOTP d'obtenir
un bail sur cette interface réseau. Par défaut le serveur DHCP
d'IPCop ignore les paquets de requête du Bootstrap Protocol
(BOOTP).
DNS Primaire
Le service DHCP va indiquer aux machines clientes quel est le
serveur DNS principal. Comme IPCop inclut un proxy DNS,
33
vous voudrez probablement laisser ce champ à sa valeur par
défaut : le serveur primaire DNS du réseau est votre serveur
IPCop. Si vous possédez votre propre serveur DNS, vous
pouvez indiquer son adresse ici.
DNS Secondaire (optionnel)
Vous pouvez aussi founir l'adresse d'un serveur DNS
secondaire utilisé en cas d'indisponibilité du serveur primaire.
Il peut s'agir d'un autre serveur local ou d'un serveur chez votre
FAI.
NTP primaire (optionnel)
Si vous faîtes de votre IPCop un serveur NTP ou si vous voulez
communiquer à chaque client l'adresse d'un autre serveur NTP,
indiquez son adresse IP dans ce champ. Le serveur DHCP se
charge alors de la transmettre à toutes les machines clientes.
NTP secondaire (optionnel)
Si vous avez l'adresse d'un second serveur NTP, indiquez-la ici.
Le serveur DHCP se charge alors de la transmettre à toutes les
machines clientes.
WINS primaire (optionnel)
Si vous possédez un réseau Windows avec un serveur de nom
Windows (serveur WINS) primaire, vous pouvez indiquer son
adresse IP dans ce champ. Elle est alors communiquée par
le serveur DHCP à tous les clients lors de l'obtention de leur
configuration réseau.
WINS secondaire (optionnel)
Si votre réseau dispose d'un serveur WINS secondaire, vous
pouvez indique son adresse IP dans ce champ. Elle est alors
communiquée par le serveur DHCP à tous les clients lors de
l'obtention de leur configuration réseau.
Les changements deviennent effectifs après l'appui sur le bouton Enregistrer.
Liste des options DHCP
Cet encadré vous permet de spécifier des paramètres additionnels à distribuer au réseau par le serveur
DHCP. Cette fonctionnalité a été ajoutée avec la version 1.4.6.
Figure 2.9. Options additionnelles DHCP
Les champs de cet encadré permettant l'ajout de paramètres additionnels à la configuration de base
du serveur DHCP sont :
Nom de l'option
Vous indiquez ici le nom de l'option DHCP ici, par exemple :
smtp-server ou tcp-keepalive-interval.
34
Valeur
La valeur à assigner à l'option dont vous venez d'indiquer le
nom. Suivant l'option, il peut s'agir d'une chaîne de caractères,
d'un entier, d'une adresse IP ou d'un drapeau d'activation/
désactivation.
Les formats suivants sont disponibles : boolean, integer 8,
integer 16, integer 32, signed integer 8, signed integer 16,
signed integer 32, unsigned integer 8, unsigned integer 16,
unsigned integer 32, ip-address, text, string, array of ip-address.
Par ailleurs la version 1.4.12 a introduit les formats
supplémentaires suivant : array of integer 8, array of integer 16,
array of integer 32, array of signed integer 8, array of signed
integer 16, array of signed integer 32, array of unsigned integer
8, array of unsigned integer 16, array of unsigned integer 32.
Portée de l'option (optionnel)
Par défaut une option possède une portée globale. Vous pouvez
réduire sa portée effective en cochant une ou plusieurs des cases
voisines, auquel cas l'option ne s'appliquera qu'aux interfaces
dont la case est cochée.
Activé
En cochant cette case vous autorisez le serveur DHCP à
prendre en compte l'option. Dans le cas contraire, l'option
n'est que sauvegardées dans la configuration d'IPCop sans être
répercutée dans celle du serveur DHCP.
Ajouter
Ce bouton permet d'ajouter l'option à la configuration du
service.
Syntaxe
Cliquez sur ce bouton pour afficher une liste des options et des
valeurs permises.
Note
Par exemple, pour ajouter l'option « ldap-server » (code 95) à la liste, commencez par ajouter
une option DHCP de nom ldap-server et de valeur code 95=string (une espace
entre « code » et « 95 », pas d'espace ni avant ni après le signe « = »).
Vous avez ainsi créé une nouvelle option avec pour Nom de l'option ldap-server, pour
Valeur code 95=string et pour Portée de l'option Définition d'option.
Vous pouvez maintenant ajouter l'option « ldap-server », comme vous l'auriez fait avec
n'importe laquelle des options DHCP d'origine, avec le nom : ldap-server et la valeur :
"ldap://some.server/dc=foo,dc=bar".
Baux fixes
Si vous possédez des machines que vous souhaitez gérer de manière centraliser tout en leur attribuant
une adresse IP fixe, vous pouvez indiquer à votre serveur DHCP de leur assigner une adresse IP
constante. Chaque machine est alors identifiée auprès du serveur DHCP par l'adresse MAC de sa carte
réseau.
Ceci est différent d'une gestion manuelle de la configuration réseau de la machine puisque cette
dernière continue à contacter le serveur DHCP pour obtenir son adresse et tous les paramètres que
vous avez renseignés précédemment.
35
Figure 2.10. Ajout d'un nouveau bail fixe
Vous pouvez indiquer les paramètres suivant pour des adresses IP fixes :
Adresse MAC
les six octets de l'adresse MAC identifiant la machine à
configurer. Les octets sont séparés par le signe deux point ':'.
Avertissement
Le format de l'adresse MAC est xx:xx:xx:xx:xx:xx
et non xx-xx-xx-xx-xx-xx comme certaines machines
l'indiquent. Un exemple correct : 00:e5:b0:00:02:d2.
Il est possible d'assigner plus d'un bail d'adresse IP fixe à une
même machine pour autant que les adresses IP soient sur des
sous-réseaux différents. Les adresses dupliquées sont mises en
évidence par des lignes en caractères gras dans le tableau.
Adresse IP
l'adresse IP à donner par le serveur DHCP à la machine identifiée
par l'adresse MAC ci-dessus. Ne pas utiliser une adresse IP de la
plage d'adresses dynamiques.
Il est possible d'indiquer une adresse IP n'appartenant pas au
réseau local. Dans ce cas l'adresse IP concernée est affichée dans
la table sur fond orange.
Remarque (optionnel)
une ligne de commentaire libre sur la machine bénéficiaire de
l'adresse (ce champ a été introduit avec la version 1.4.4 d'IPCop).
next-server (optionnel)
l'adresse du serveur à contacter pour les éventuels clients dits
légers utilisant un fichier de démarrage.
filename (optionnel)
le nom du fichier de démarrage pour cette machine.
root-path (optionnel)
le chemin complet vers le fichier précédent sur le serveur si il
n'est pas dans le répertoire par défaut.
36
Activé
cochée, elle indique que le serveur DHCP se charge de la gestion
de ce bail. Dans le cas contraire, le bail est sauvegardé mais n'est
pas géré par le serveur.
Réservations DHCP fixes
Les réservation d'IP fixes gérées par le serveur DHCP sont listées dans la partie inférieure de cet
encadré. Ce même encadré permet en outre d'éditer, d'activer/désactiver ou bien encore de supprimer
chaque réservation.
Il est possible de trier cette liste des baux fixes en cliquant sur les en-têtes de colonne Adresse MAC
ou Adresse IP. Un second clic sur un même en-tête inverse le critère de classement.
Figure 2.11. Liste des baux fixes
Pour éditer une réservation, cliquez sur son icône représentant un crayon. Ses paramètres se retrouvent
affichés dans l'encadré Modifier un bail existant au dessus et l'entrée correspondante dans la liste est
surlignée en jaune. Utilisez le bouton Mise à jour pour enregistrer les éventuelles modifications.
En cliquant sur l'icône représentant une poubelle, vous supprimez la réservation correspondante.
Baux dynamiques en cours
Si le serveur DHCP est actif, cette section affiche les détails des baux dynamiques concédés par le
serveur qui se trouvent listés dans le fichier /var/state/dhcp/dhcpd.leases. L'adresse IP,
l'adresse MAC, le nom de machine (si disponible) et la date d'expiration pour chaque enregistrement
sont présentés. Les entrées sont classées par adresse IP.
Il est possible de trier cette liste des baux dynamiques en cliquant sur l'un des quatre en-têtes de colonne
soulignés. Un second clic sur un même en-tête inverse le critère de classement.
Au besoin, il est facile d'effectuer un copier/coller d'une adresse MAC de cet encadré vers celui
permettant de définir un bail d'IP fixe.
37
Figure 2.12. Baux dynamiques en cours
Depuis la version 1.4.12, il est possible d'ajouter des baux fixes directement depuis la liste des baux
dynamiques. En relation avec le champ Base IP utilisée pour création des bail fixes, vous pouvez
cocher une ou plusieurs des cases de la liste avant de cliquer sur le bouton Créer les réservations pour
ajouter rapidement les machines concernées à la liste de celles bénéficiant d'un bail fixe.
Les baux ayant expirés sont « rayés ».
Messages d'erreur
Une fois le bouton Ajouter cliqué, un message peut apparaître en haut de la page si une erreur a été
détectée lors de l'analyse des paramètres de configuration.
Page DNS Dynamique
Le DNS dynamique (DYNDNS) vous permet de rendre votre serveur accessible par Internet même
si vous ne disposez pas d'une adresse IP fixe. Pour ce faire, vous devez enregistrer un sous-domaine
chez l'un des nombreux fournisseurs de service DYNDNS. Ensuite, dès lors qu'IPCop se connecte à
l'Internet et se voit assigner une adresse IP par le FAI, il en informe le service de DYNDNS. Lorsqu'une
machine cliente demande à accéder à votre serveur, la demande de résolution du nom est prise en
charge par le serveur DYNDNS qui renvoie votre dernière adresse IP connue. Le client a désormais
la possibilité de contacter directement votre serveur (sous réserve que votre configuration l'autorise).
IPCop peut se charger de la mise à jour de vos informations en effectuant automatiquement les mises
à jour nécessaires auprès de différents services de DYNDNS.
38
Figure 2.13. Paramètres du DNS dynamique
Ajouter un hôte
Les élements suivants sont demandés lors de l'ajout d'un hôte :
Service
Sélectionnez dans la liste déroulante le nom du fournisseur de
service DNS dynamique. Vous devez déjà posséder un compte
chez ce fournisseur.
Derrière un serveur mandataire
(proxy)
Cette case doit être cochée si vous utilisez le service no-ip.com
et si votre IPCop se trouve derrière un serveur mandataire. Pour
tous les autres services, l'état de cette case est ignoré.
Activer les jokers
En activant les jokers, vous faites pointer tous vos sousdomaines vers la même adresse IP que votre nom d'hôte (par
exemple, en cochant la case, www.ipcop.dyndns.org pointera
vers la même adresse IP que ipcop.dyndns.org). L'état de cette
case n'est pas pris en compte par le service no-ip.com dans la
mesure où celui-ci ne permet cette activation que depuis son
site web.
Nom d'hôte
Indiquez dans ce champ le nom d'hôte enregistré auprès du
fournisseur de DYNDNS.
Domaine
Indiquez dans ce champ le nom de domaine enregistré auprès
du fournisseur de DYNDNS.
39
Nom d'utilisateur
Indiquez dans ce champ le nom d'utilisateur
l'identification auprès du fournisseur de DYNDNS.
pour
Mot de passe
Indiquez le mot de passe correspondant au nom d'utilisateur
précédent.
Activé
IPCop n'enverra pas automatiquement les informations au
serveur DYNDNS si cette case n'est pas cochée. Le contenu
des champs précédents sera conservé pour vous permettre de
réactiver la mise à jour automatique de DYNDNS sans avoir à
remplir de nouveau ce formulaire.
Hôtes actuels
Cet encadré donne une liste des entrées de DNS dynamique déjà connues.
Pour éditer l'une d'elle, cliquez sur l'icône représentant un crayon en bout de ligne. Les détails
de l'entrée concernée se retrouvent affichés dans le formulaire précédent. Effectuez alors vos
modifications et cliquez sur le bouton Ajouter en fin de formulaire.
Il est possible d'activer ou de désactiver, depuis la liste, sans avoir à les éditer, les options Derrière un
serveur mandataire (proxy), Activer les jokers et Activer de chaque entrée.
Forcer la mise à jour
Vous pouvez demander à forcer le rafraîchissement des informations en pressant le bouton Forcer
la mise à jour. Pour autant, il est recommandé de ne mettre à jour les informations que lors
de changements d'adresse IP : les fournisseurs de service de DNS dynamique apprécient très
moyennement les mises à jour inutiles. Dès lors qu'une entrée a été activée, à chaque changement
d'adresse IP de votre IPCop, une demande de mise à jour est automatiquement lancée.
Écran Hôtes statiques
Le serveur mandataire DNS d'IPCop met en cache les informations DNS en provenance de l'Internet.
En plus de cela, il vous laisse spécifier des hôtes dont vous souhaitez gérer vous-même les paramètres.
Il peut s'agir de machines locales ou bien de machines distantes pour lesquelles vous voulez fixer la
résolution des adresses.
40
Figure 2.14. Écran d'ajout d'un nom d'hôte
Configuration
Les éléments suivants peuvent être renseignés par l'interface web :
Adresse IP de la machine
Indiquez dans ce champ l'adresse IP.
Nom d'hôte
Utilisez ce champ pour spécifier le nom d'hôte de la machine.
Nom de domaine (optionnel)
Si la machine en question se trouve dans un autre domaine,
remplissez ce champ avec le nom de domaine.
Activé
Cochez cette case pour activer l'entrée.
L'entrée est sauvegardée lorsque vous pressez le bouton Ajouter.
Hôtes actuels
Cet encadré présente une liste des entrées DNS locales connues d'IPCop.
Il est possible de trier cette liste en cliquant sur l'un des trois en-têtes de colonne soulignés. Un second
clic sur un même en-tête inverse le critère de classement.
Figure 2.15. Liste des hôtes configurés
Pour activer ou désactiver une entrée, cliquez sur l'icône représentant une case à cocher dans la colonne
Action de celle-ci. L'icône change en une case vide lorsque l'entrée est désactivée. Cliquez dessus
pour la réactiver.
Pour éditer l'une d'elle, cliquez sur l'icône représentant un crayon en bout de ligne. Les détails
de l'entrée en question se retrouvent affichés dans le formulaire précédent. Effectuez alors vos
modifications et cliquez sur le bouton Mise à jour du formulaire.
Pour supprimer une entrée, cliquez sur l'icône représentant une poubelle en bout de ligne.
41
Page Serveur de temps
Vous pouvez faire en sorte que votre IPCop récupère automatiquement l'heure et la date depuis un
serveur de temps précis accessible par l'Internet. Votre IPCop peut également servir de référence de
temps pour les machines de votre réseau.
Figure 2.16. Paramétrage du serveur de temps
Pour configurer ce service, assurez-vous que la case Activé est cochée et indiquez le nom complet du
serveur de temps à utiliser dans le champ NTP primaire. Vous avez aussi la possibilité de spécifier un
serveur NTP alternatif en remplissant de la même façon le champ NTP secondaire.
Pour des raisons d'efficacité, nous vous recommandons de synchroniser votre IPCop avec les serveurs
de temps éventuellement mis à disposition par votre fournisseur d'accès. Si ce dernier n'en propose pas,
voyez le projet www.pool.ntp.org [http://www.pool.ntp.org/] dont l'objet est justement « de permettre
à des millions de clients, grâce à un cluster virtuel de serveurs, d'accéder à un service NTP simple et
fiable sans charger les gros serveurs de temps populaires ».
Pour un horodatage précis, pensez à indiquer votre pays dans l'adresse du serveur (par exemple
0.us.pool.ntp.org) au lieu d'utiliser la zone globale (0.pool.ntp.org) comme expliqué sur leur site.
Pour faire d'IPCop une référence de temps pour les autres machines de vos réseaux, cochez la case
Fournir l'heure au réseau local.
Vous pouvez choisir de mettre à jour régulièrement l'heure de votre machine IPCop, chaque heure
par exemple. Cette page vous permet aussi de le faire à la demande en cliquant simplement sur le
bouton Mise à jour.
Pour sauvegarder vos choix, utilisez le bouton Enregistrer.
Note
Le service de serveur de temps d'IPCop fait usage de la commande ntpdate pour une mise à
jour périodique de l'heure plutôt que du serveur ntpd qui, lui, corrige l'heure de la machine en
continu. De ce fait, il n'est pas obligatoire de laisser connecter votre IPCop en permanence à
l'Internet, en risquant toutefois qu'il puisse se désynchroniser et dériver légèrement.
42
Compenser une dérive systématique de l'horloge de la machine
IPCop
S'il s'avère que l'heure de votre machine IPCop est avancée ou reculée d'une durée
significative lors des resynchronisations avec un autre serveur NTP, vous pouvez spécifier
un facteur de correction dans le fichier /etc/ntp/drift pour compenser cette dérive.
La sortie de la commande ntpdate vous permet de déterminer cette valeur. Depuis la page
Journaux système, dans la section NTP, recherchez une ligne du genre :
10:40:00 ntpdate step time server 192.168.1.1 offset 3.371245
sec
En divisant l'écart de temps par le temps écoulé depuis la dernière mise à jour et en multipliant
par un million, vous obtenez la valeur (en parties par millions) à placer dans le fichier /etc/
ntp/drift.
En reprenant les données du message d'exemple ci-dessus, cela donne :
(3.37 ÷ 86400 × 1000000) = 39.004
où 3,37 est l'écart quotidien et 86400 le nombre de secondes dans un jour.
Changez la valeur dans le fichier de dérive avec la commande suivante (exécutée en tant que
root) :
$ echo 39.004 > /etc/ntp/drift
Figure 2.17. Mise à jour manuelle de l'heure
Si vous ne souhaitez pas utiliser un serveur de temps comme référence, vous pouvez entrer l'heure
et la date courantes dans les champs de l'encadré représenté ci-dessus avant de cliquer sur le bouton
Mise à jour immédiate.
Avertissement
Si vous avancez sensiblement l'heure de la machine, le serveur fcron en charge de l'exécution
des tâches cron normales peut sembler arrêté alors qu'il attend de rattraper le temps.
Si tel est le cas, essayez la commande fcrontab -z depuis un terminal pour réinitialiser le
serveur fcron.
Page Lissage du trafic (shaping)
Le lissage de trafic vous permet d'assigner des priorités aux flux IP traversant votre pare-feu. IPCop
fait appel pour cela à WonderShaper. Ce logiciel a été conçu pour minimiser la latence au ping et
garantir que les services interactifs tels que SSH restent fluides même sous forte charge, par exemple
pendant un gros téléchargement.
43
Figure 2.18. Configuration du lissage de trafic
Nombreux sont les fournisseurs d'accès à caractériser leurs offres par vitesses de transfert plutôt que
par latences. Pour maximiser ces vitesses de transfert, ils configurent leurs équipements pour grouper
vos flux dans des queues. Lorsque des flux interactifs sont introduits dans ces grandes queues, leurs
latences augmentent considérablement puisque les paquets ACK doivent patienter un certain temps
avant de vous arriver. IPCop sait gérer ce phénomène et vous laisse assigner des priorités à vos flux.
Pour cela, ils doivent être groupés en trois catégories de priorités différentes : Haute, Moyenne et
Basse. Le trafic ping est toujours attaché au groupe de plus haute priorité — pour vous permettre de
connaître la vitesse de votre connexion lors de gros téléchargement.
Pour mettre en place le lissage de trafic par IPCop :
1.
servez-vous de quelques sites rapides bien connus pour estimer vos vitesses de transfert montant
et de transfert descendant. Remplissez les champs correspondant dans l'encradé Configuration ;
2.
activez le lissage de trafic en cochant la case Activé ;
3.
identifiez quels services sont utilisés derrière votre pare-feu ;
4.
classez ces services en trois groupes de priorités croissantes. Par exemple :
5.
a.
le trafic interactif, tel que les sessions SSH (port 22) et les services de voix sur IP (VOIP)
ont leur place dans le groupe à priorité élevée.
b.
la navigation classique sur le web (port 80) et les flux de communication (streaming audio
et vidéo) se placent dans le groupe à priorité moyenne.
c.
les trafics de masse, genre échanges de fichiers par P2P, se placent dans le groupe ayant
une priorité basse.
créez la liste de services et de priorités depuis l'encadré Ajout du service de cette page.
44
Les services pris en exemple ci-dessus ne servent qu'à montrer le potentiel d'IPCop pour ce qui est du
lissage du trafic. Vous serez très vraisemblablement amené à adapter le contenu des groupes puisque
la nature des flux dépend de votre utilisation.
Page Détection d'intrusion
IPCop intègre un puissant système de détection d'intrusion nommé Snort. Il analyse le contenu des
paquets reçus par le pare-feu et recherche les signes d'activités malveillantes.
Figure 2.19. Configuration de la détection d'intrusion
IPCop peut se charger de contrôler les paquets réseau sur les interfaces VERTE, BLEUE, ORANGE
et RED. Pour ce faire, cochez les cases correspondantes avant de cliquer sur le bouton Enregistrer.
Mise à jour des règles Snort
Si vous souhaitez utilisez les règles « Sourcefire VRT Certified », suivez les instructions décrites sur
le site de Snort [http://www.snort.org/] pour obtenir un « Oink Code ».
Avant votre première tentative de récupération de règles, sélectionnez le bouton radio approprié, si
nécessaire indiquez votre « Oink Code » et cliquez sur le bouton Enregistrer.
Au fur et à mesure de l'apparition de nouvelles attaques, les règles dont Snort se sert pour identifier
ces activités sont mises à jour. Pour en récupérer la dernière version, cliquez sur le bouton Télécharger
de nouvelles règles.
Pages de l'onglet Pare-feu
Les pages regroupées sous l'onglet Pare-feu donnent accès aux fonctions principales de votre IPCop.
Elle permettent en effet de contrôler les flux traversant votre pare-feu.
45
Il s'agit des pages :
• de transferts de ports ;
• d'accès externes pour la configuration d'accès de maintenance de votre IPCop depuis l'extérieur ;
• des accès à la DMZ ;
• des accès au réseau BLEU permettant de connecter un point d'accès sans-fil à IPCop.
• des options du pare-feu.
Quels sont les flux autorisés entre les différentes
interfaces réseau d'IPCop ?
La figure suivante résume le paramètrage par défaut d'IPCop pour ce qui est des flux réseau. Elle
précise également les systèmes permettant d'ouvrir ou de contrôler ces flux.
Figure 2.20. Flux IP
Personnalisation par l'utilisateur
Avec la version 1.4 est apparu un fichier destiné aux utilisateurs voulant modifier par eux-mêmes les
règles du pare-feu. Il s'agit du fichier /etc/rc.d/rc.firewall.local.
46
Ce fichier est appelé par un autre fichier, /etc/rc.d/rc.firewall, lors du démarrage d'IPCop.
Il est par ailleurs possible de le lancer manuellement avec la ligne de commande suivante :
$ /etc/rc.d/rc.firewall.local {start|stop|reload}
Note
L'option reload a été ajoutée avec la version 1.4.2 puis modifiée avec la version 1.4.6. Ces
changements n'ont cependant pas été inclus dans les mises à jour officielles correspondantes,
ceci pour ne pas effacer les éventuelles modifications apportées par l'utilisateur.
Depuis la version 1.3, plusieurs chaînes - au sens IPTables - sont à la disposition de l'utilisateur
pour l'adaptation du pare-feu à des besoins particuliers : CUSTOMINPUT, CUSTOMOUTPUT et
CUSTOMFORWARD.
Enfin le fichier /etc/rc.d/rc.local, introduit également avec la version 1.3, permet à
l'utilisateur de lancer ses propres commandes au démarrage de la machine. Il peut par exemple s'agir
de la configuration d'un modem interne.
Aucun de ces fichiers n'est modifié lors des mises à jour officielles. Ils font par ailleurs partie des
fichiers inclus dans les sauvegardes de configuration.
Page Transferts de ports
Cette page vous permet de configurer des transferts de ports sur votre IPCop. Cette opération est
totalement facultative, ne tenez pas compte de cette section que si vous avez besoin d'un tel dispositif.
Aperçu du transfert de port
Un pare-feu a pour fonction de stopper les connexions initiées depuis l'extérieur du réseau qu'il protège.
Néanmoins, il arrive que cette fonction soit trop stricte. C'est le cas par exemple si vous possédez
un serveur Web : toutes les requêtes à ce serveur émanant de l'extérieur se verraient refusées. Seules
les requêtes provenant de vos propres machines (internes) seraient honorées. Ce qui signifie que
seuls les utilisateurs du réseau interne pourraient consulter le serveur ce qui n'est évidemment pas le
comportement espéré. En effet, vous voulez la plupart du temps que les personnes extérieures aient
elles aussi la possibilité de consulter votre site. C'est là que le transfert de port intervient.
Le transfert de port est le service qui autorise un accès limité au réseau local depuis l'extérieur. Lorsque
vous mettez en place un serveur, vous pouvez choisir sur quels ports le mettre en « écoute ». La
procédure dépend du logiciel. Reportez-vous à la documentation l'accompagnant pour connaître cette
procédure.
Dès lors que cette configuration des ports est faite, vous êtes prêt à paramètrer votre IPCop. Sur la
page des transferts de ports, le menu déroulant TCP/UDP vous permet de choisir sur quel protocole
la règle doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pas indiqué dans
la documentation du serveur, il est fort probable qu'il s'agisse de TCP. Certains serveurs de jeux ou
de discussion utilisent cependant l'UDP.
Le champ Port source est utilisé pour spécifier le port auquel les personnes extérieures se connecteront.
Le plus souvent, ce champ prend pour valeur le numéro du port standard du service (80 pour les
serveurs Web, 20 pour les serveurs ftp, 25 pour des serveurs de courrier, etc.....). Il est possible
d'indiquer une plage de ports à transférer plutôt qu'un seul. Pour ce faire, servez-vous du caractère
« : » entre deux numéros de port, en commençant par le plus petit numéro.
Le champ Adresse IP de destination représente l'adresse IP interne de votre serveur (votre serveur
Web peut par exemple avoir l'adresse 192.168.0.3).
Le champ Port destination doit être renseigné avec le numéro de port sur lequel le serveur est en écoute
sur la machine interne. Il s'agit du numéro de port discuté précédemment lors de la configuration du
serveur.
47
Enfin la liste déroulante Alias IP permet de sélectionner à quelle adresse IP ROUGE cette règle
doit s'appliquer. IPCop peut en effet gérer plus d'une adresse IP ROUGE. Si vous n'en avez qu'une,
choisissez l'entrée DEFAULT IP.
Transfert de port et accès externe
L'interface de gestion des transferts de ports a été réécrite à l'occasion de la version 1.3.0. Elle est
sensiblement différente de celle des versions antérieures. Notez toutefois que les numéros de ports
utilisés pour un service particulier n'ont pas changé.
La page des accès externes n'a AUCUNE incidence sur les réseaux VERT et ORANGE. Elle permet
seulement d'ouvrir à l'extérieur des ports de votre machine IPCop mais pas vos réseaux VERT ou
ORANGE.
Comment ouvre-t-on un accès externe alors ? Cette ouverture est combinée au transfert de port. La
page de configuration des transferts de ports propose un champ nommé Adresse IP source ou réseau
(vide pour "Tout") à cet effet.
Si ce champ est laissé vide, le transfert de port est ouvert à TOUTES les adresses de l'Internet.
Autrement, vous pouvez l'utiliser pour spécifier une adresse unique ou une adresse de réseau et
n'autoriser ainsi l'accès que depuis une machine ou un réseau particulier.
Figure 2.21. Paramétrage des transferts de ports
Vous pouvez avoir plus d'une seule adresse externe - après avoir créé votre le transfert de port, celle-ci
apparaîtra dans la liste. Si vous souhaitez ajouter une adresse externe supplémentaire, cliquez sur
l'icône représentant un « crayon rouge » et un signe « plus » de l'entrée correspondante. Les détails de
cette entrée se retrouvent affichés dans le premier encadré pour vous permettre d'entrer une adresse
IP externe ou un réseau.
À la validation de ces informations vous verrez apparaître une nouvelle entrée dans l'encadré listant
les transferts de port.
Plusieurs autres choses sont à noter :
48
• le protocole GRE est supporté ;
• le caractère « * » est un joker pour la définition des plages de ports. Par exemple :
• « * » crée une plage couvrant tous les ports ;
• « 85-* » crée une plage allant du port 85 au port 65535 ;
• « *-500 » crée une plage allant du port 1 au port 500.
Les caractères « : » et « - » sont les caractères valides de séparation de ports dans la définition d'une
plage. Notez que le caractère « - » sera changé en « : » même s'il apparaît bien comme « - » à l'écran.
Vous n'avez qu'à entrer le premier port source, le port destination sera rempli pour vous
automatiquement.
Un enregistrement peut être édité en cliquant sur l'icône représentant un « crayon jaune » en bout de
ligne. Tant que vous ne cliquez pas sur le bouton Mise à jour, aucun changement n'est pris en compte.
Lors de l'édition d'un enregistrement, la ligne correspondante est surlignée en jaune.
Pour supprimer un enregistrement, cliquez sur l'icône qui lui est associée représentant une « poubelle ».
Les plages de ports ne peuvent pas se chevaucher.
Un port individuel ne peut pas être placé en plein milieu d'une plage, par exemple si vous avez déjà
configuré la plage 2000-3000 et que vous essayez de transférer le port 2500, une erreur sera signalée.
Vous ne pouvez pas transférer un même port vers plusieurs machines.
Sur l'adresse principale (DEFAULT IP) certains ports sont réservés à IPCop pour son bon
fonctionnement. Il s'agit des ports 67, 68, 81, 222, et 445.
Lors de l'édition d'un transfert de port, une case à cocher nommée Supprimer l'accès externe pour
TOUS apparaît. Il s'agit d'une manière simple et rapide d'ouvrir un port à TOUTES les adresses
d'Internet pour tester ou pour toute autre raison. Cette fonctionnalité a été ajoutée à la demande d'un
utilisateur.
Si vous avez un transfert de port avec de multiples accès externes, quand vous supprimez ces accès
externes, le port devient ouvert à TOUTES les adresses, prenez-y garde.
Il existe un raccourci permettant d'activer/désactiver un transfert de port ou un accès externe : cochez/
décochez la case « Activé » de l'entrée concernée. Lorsqu'une règle est désactivée, la case est décochée.
Cliquez alors dessus pour la réactiver. Remarque : lorsque vous désactivez un transfert de port, tous
les accès externes associés sont désactivés. De même lorsque vous activez un transfert de port, tous
les accès externes associés sont activés.
Page Accès externes
Cette page vous permet de paramétrer les accès externes pour votre machine IPCop. Cette opération
est totalement facultative, ne tenez compte de cette section que si vous envisagez d'utiliser cette
fonctionnalité.
49
Figure 2.22. Configuration des accès externes
Depuis la version 1.3.0, l'accès externe ne sert à contrôler que les seuls accès à votre machine IPCop.
Il n'a aucun effet sur les accès aux réseaux VERT, BLEU ou ORANGE. Ceci est désormais géré par
le transfert de port décrit précédemment.
Si vous souhaitez administrer votre IPCop à distance, vous devez autoriser l'accès externe au port
445, https en TCP. Vous pouvez également autoriser l'accès au port 222, ssh en TCP si l'accès SSH
est activé.
Le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle en cours d'édition
doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pas indiqué dans la
documentation du serveur, alors il s'agit très probablement de TCP.
Le champ Adresse IP source ou réseau est utilisé pour spécifier l'adresse de la machine à qui l'accès
au pare-feu est autorisé. Ce champ peut être laissé vide, l'accès est alors donné à n'importe quelle
machine. Bien que dangereux cela peut s'avérer utile si vous envisagez d'administrer votre machine
de n'importe où dans le monde. Pour autant, si vous arrivez à limiter le nombre d'adresses IP depuis
lesquelles vous voulez pouvoir administrer votre IPCop, vous pouvez les indiquer dans ce champ.
Le champ Port de destination doit être renseigné avec le numéro du port externe auquel ces adresses
peuvent se connecter, par exemple 445.
Le menu déroulant Adresse IP de destination permet de sélectionner à quelle adresse IP du réseau
ROUGE cette règle doit s'appliquer. IPCop peut en effet gérer plus d'une adresse IP ROUGE. Si vous
n'en avez qu'une, choisissez l'entrée DEFAULT IP.
Lorsque tous les champs précédents ont été renseignés, cochez la case Activé avant de cliquer sur le
bouton Ajouter. La règle est alors enregistrée et activée.
L'encadré Règles actuelles donne une liste de toutes les règles gérées par votre IPCop. Pour supprimer
l'une d'elles, cliquez sur l'icône représentant une « poubelle ». Pour en éditer une, cliquez sur l'icône
représentant un « crayon jaune ».
Pour activer ou désactiver une règle, servez-vous de la case à cocher coorespondante. Lorsqu'elle est
désactivée, la case est décochée. Vous devez cliquer dessus pour la réactiver.
Page Accès à la DMZ
Cette page vous permet de paramétrer les accès au réseau VERT depuis la DMZ. Cette opération est
totalement facultative, ne tenez pas compte de cette section si vous n'envisagez pas d'utiliser un tel
dispositif.
50
Cette page n'est visible que si vous avez installé et configuré une interface ORANGE ou BLEUE.
Figure 2.23. Paramétrage des accès depuis la DMZ
La DMZ ou zone démilitarisée (réseau ORANGE) est une zone particulière, semi-sécurisée, point
d'échange entre la zone externe (réseau ROUGE) et la zone interne (réseau VERT). La première
représente l'ensemble de l'Internet. Alors que la seconde regroupe vos machines internes. La DMZ
permet ainsi de partager l'accès à des serveurs depuis ces deux zones sans pour autant permettre l'accès
depuis l'Internet à vos machines locales sensibles.
Supposez par exemple que votre entreprise possède un serveur Web. Évidemment, vous souhaitez
que vos clients puisseent y accéder. Mais supposez qu'en même temps vous vouliez que ce serveur
Web transmette les commandes des clients à vos employés dont les machines sont naturellement sur
le réseau VERT. Dans une mise en oeuvre classique de pare-feu, cela ne peut fonctionner puisque les
requêtes d'accès au réseau VERT sont initiées depuis l'extérieur de ce réseau. De toute évidence, vous
ne souhaitez pas que vos clients aient un accès direct à vos machines internes du réseau VERT. Alors
comment faire ? Et bien en paramétrant l'accès restreint depuis la DMZ.
Cet accès restreint donne aux machines de la DMZ la possibilité de contacter des machines du réseau
VERT sous conditions. Dans la mesure où les serveurs de la zone ORANGE se doivent d'avoir des
conditions d'accès depuis la zone ROUGE souples, ils sont plus vulnérables aux attaques externes.
En n'autorisant qu'un accès réduit au minimum de ORANGE vers VERT, vous évitez les accès non
autorisés à vos machines sensibles si la sécurité d'un de vos serveurs était compromise.
Le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle en cours d'édition doit
s'appliquer. La plupart des serveurs utilise le protocole TCP. Quelques serveurs de jeu et serveurs de
discussion utilisent l'UDP. Si le protocole n'est pas indiqué dans la documentation du serveur, alors il
s'agit très probablement de TCP. Utilisez le même protocole que celui spécifié sur la page de transferts
de ports.
Le menu déroulant Réseau d'origine donne une liste des réseaux sources disponibles sur la machine.
Le champ Adresse IP source doit être renseigné avec l'adresse IP de la machine à qui vous permettez
l'accès aux machines internes.
Le menu déroulant Réseau de destination donne une liste des réseaux destinations disponibles sur la
machine.
Le champ Adresse IP de destination doit quant à lui contenir la machine recevant la requête. Cette
machine se trouve sur l'un des réseaux internes de confiance, c'est à dire VERT ou BLEU.
51
L'entrée Port de destination spécifie le port sur lequel la machine précédente est à l'écoute.
Dès lors que toutes les informations ont été saisies, cochez la case Activé avant de cliquer sur le bouton
Ajouter. La règle est alors enregistrée et activée. Elle apparaît dans le second encadré de cette page.
L'encadré Règles actuelles donne une liste de toutes les règles gérées par votre IPCop. Pour supprimer
l'une d'elles, cliquez sur l'icône représentant une « poubelle ». Pour en éditer une, cliquez sur l'icône
représentant un « crayon jaune ».
Pour activer ou désactiver une règle, servez-vous de la case à cocher correspondante. Lorsqu'elle est
désactivée, la case est décochée. Vous devez cliquez dessus pour la réactiver.
Page Accès BLEU
Cette page vous permet de paramètrer quel point d'accès WiFi du réseau BLEU est autorisé à se
connecter à votre IPCop. Cette opération est totalement facultative, ne tenez compte de cette section
que si vous envisagez d'utiliser un tel dispositif.
Note
Cette page n'est visible que si vous avez installé et configuré l'interface du réseau BLEU.
Pour mettre en place un réseau BLEU :
1. utilisez une carte Ethernet reconnue pour l'interface BLEUE ;
2. connectez le point d'accès à la carte Ethernet (si plusieurs connecteurs sont présents sur le point
d'accès, utilisez le connecteur RJ45 portant la mention LAN) ;
3. DHCP peut servir à l'adressage dynamique ou statique du réseau BLEU. L'adressage statique
reste cependant recommandé pour des raisons de sécurité des adresses MAC. Reportez-vous à la
description de la page de configuration du serveur DHCP pour plus d'informations sur la concession
de baux statiques par le serveur.
Si vous ne devez permettre que l'accès à Internet (réseau ROUGE) par http aux machines de votre
réseau BLEU, indiquez, sur la page reproduite ci-dessous, soit l'adresse IP ou MAC du routeur sans
fil, soit les adresses de vos périphériques sans fil si vous vous servez d'un point d'accès. Vous devez
indiquer au minimum une adresse MAC ou une adresse IP, éventuellement les deux, pour chaque
périphérique.
Un point d'accès se comporte comme un répartiteur Ethernet et IPCop prend en charge le service
DHCP pour les périphériques utilisant ce point d'accès. À l'inverse un routeur sans fil se charge seul de
la translation d'adresses (NAT) et de la configuration réseau des clients (DHCP). Il propose en outre
ses propres éléments de contrôle.
Note
Votre point d'accès doit supporter la transparence DHCP (DHCP passthrough) si vous espérez
faire d'IPCop le serveur DHCP des machines de votre réseau sans fil. Toutes les références
n'offrent pas cette fonctionnalité en « mode » point d'accès (par exemple Netgear WG614).
Depuis une machine connectée au réseau BLEU, vous pourrez accéder à l'interface Web
d'administration d'IPCop mais pas aux machines du réseau VERT sans quelques manipulations
supplémentaires.
Pour autoriser l'accès au réseau VERT depuis le réseau BLEU, vous devez :
1. soit utiliser la page Configuration des accès à la DMZ et mettre en place des règles d'accès
particulières ;
52
2. soit configurer un VPN pour l'accès de vos postes nomades sur l'interface BLEU.
Figure 2.24. Paramétrage de l'accès BLEU
Dans l'encadré Ajoute un Client Réseau, vous indiquez l'adresse IP ou l'adresse MAC d'un point
d'accès sans-fil ou de n'importe quel périphérique du réseau BLEU que vous voulez relier à Internet
par l'intermédiaire de votre IPCop.
Vous devez renseigner au minimum une adresse MAC ou une adresse IP par périphérique.
Si le service DHCP est activé sur le réseau BLEU et si vous désirez autoriser tout périphérique à se
connecter et profiter du le réseau RED, vous devez ajouter une entrée à cette liste pour chaque adresse
IP de la plage d'adresses gérées par DHCP. Laissez le champ d'adresse MAC de chaque entrée vide.
Inversement, si vous souhaitez limiter l'accès aux seuls périphériques connus, ajoutez les adresses
MAC de ces périphériques et laissez le champ d'adresse IP vide. Ce faisant vous autorisez les
connexions des seuls périphériques dont l'adresse MAC est listée ici, indépendamment des baux DHCP
qu'ils reçoivent.
Ceci fait, cochez la case Activé et cliquez sur le bouton Ajouter. Les données saisies se retrouvent
alors affichées dans l'encadré suivant et l'entrée est marquée active.
L'encadré Clients Réseaux sur BLEU propose en effet une liste des périphériques reconnus sur le
réseau BLEU. Pour supprimer l'un d'eux, cliquez sur l'icône représentant une « poubelle ». Pour le
reparamétrer, cliquez sur l'icône représentant un « crayon jaune ».
Pour activer ou désactiver une entrée, servez-vous de la case à cocher correspondante. Lorsque l'entrée
est désactivée, la case est décochée. Vous devez cliquez dessus pour la réactiver.
Si le service DHCP est activé pour le réseau BLEU, cette page propose un encadré supplémentaire
: Bails DHCP sur BLEU.
53
Il vous fournit un moyen rapide d'ajouter des périphériques sans fils à la liste des périphériques
autorisés. Pour cela, cliquez sur l'icône représentant un « crayon bleu » du périphérique en question.
Vous pouvez alors éditer l'entrée si nécessaire en cliquant sur l'icône représentant un « crayon jaune »
comme précédemment.
Page Options du firewall
Cette page vous permet de configurer plus finement certains comportements du pare-feu. Vous pouvez
sans aucun risque ignorer cette section si vous ne souhaitez pas utiliser cette fonctionnalité.
Figure 2.25. Options du pare-feu
Désactive le ping
• Non - votre IPCop répond aux requêtes ping arrivant sur n'importe laquelle de ses interfaces. Il
s'agit du comportement par défaut.
• Seulement ROUGE - votre IPCop ne répond pas aux requêtes ping arrivant sur l'interface ROUGE.
• Toutes les interfaces - votre IPCop ne répond à aucune requête ping qu'il reçoit.
Pour sauvegarder ces modifications, pressez le bouton Enregistrer.
Pages de l'onglet RPVs
Virtual Private Networks (VPNs) ou Réseau Privé
Virtuel (RPV)
IPCop peut facilement établir des VPNs avec d'autres serveurs IPCop. Mais il lui est aussi possible
d'interagir avec n'importe quel autre produit VPN supportant IPSec et un chiffrement standard tel que
3DES.
Section en cours de rédaction...
Encadré Paramètres généraux
Figure 2.26. Paramètres généraux du VPN
54
Encadré Contrôle et statut de la connexion
Figure 2.27. Encadré de contrôle et de statut : vue initiale
Type de Connexion
Figure 2.28. Sélection du type de connexion VPN
Connexion Serveur-vers-Réseau
Figure 2.29. Saisie d'une connexion VPN Serveur-à-Réseau
Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cette connexion.
55
Connexion de Réseau-à-Réseau
Figure 2.30. Paramètres d'une connexion VPN Réseau-à-Réseau
Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cette connexion.
Côté IPCop. Section en cours de rédaction...
Authentification
Figure 2.31. Paramètres pour l'authentification
56
Encadré Autorités de certification
Figure 2.32. Autorités de certification : vue initiale
Pages de l'onglet Journaux
Introduction
Ce menu permet d'accéder à cinq ou six pages suivant votre configuration. Ces pages - Configuration
des journaux, Résumé des journaux, Journaux du serveur mandataire, Journaux du pare-feu, Journaux
IDS si ce dernier est actif et Journaux Système - partagent un ensemble de fonctionnalités pour la
sélection, l'affichage et l'exportation des événements enregistrés par la machine IPCop. Les listes
déroulantes Mois et Jour de l'encadré Configuration vous permettent d'accéder aux traces des jours
et mois précédents. À chaque nouvelle combinaison de ces champs, il est nécessaire de cliquer sur le
bouton Mise à jour pour rafraîchir l'affichage. Lors du premier affichage d'une page, les informations
présentées correspondent au relevé de la journée en cours.
Le bouton << vous permet de revenir en arrière d'une journée alors que le bouton >> vous permet
d'avancer au relevé du jour suivant.
Les traces sont affichées sous la forme d'une liste dans l'encadré nommé Journaux. Si cette liste est
trop longue pour être affichée correctement dans une fenêtre de navigateur, seuls les enregistrements
les plus récents sont présentés. Dans ce cas, les liens Plus ancien et Plus récent en haut et en bas de
page sont actifs et permettent de naviguer dans la liste complète.
Le bouton Exporter permet de récupérer sur votre machine cliente un fichier au format texte
(log.dat) contenant les données de la page affichée. Suivant la configuration de votre ordinateur,
l'appui sur ce bouton entraîne l'ouverture d'une fenêtre de téléchargement, l'affichage du contenu du
fichier directement dans le navigateur ou bien encore l'ouverture d'un éditeur de texte. Dans ce dernier
cas, vous avez toute liberté pour sauvegarder le fichier log.dat en format texte.
Page Configuration des journaux
57
Figure 2.33. Configuration des journaux
Page Résumé des journaux
Figure 2.34. Affichage du résumé des traces
58
Page Journaux du serveur mandataire
Cette page vous permet de consulter les fichiers stockés dans le cache du serveur web mandataire
d'IPCop. Par défaut, ce serveur est inactif et doit donc être explicitement activé depuis la page
d'administration spécifique (Services > Serveur mandataire (proxy)).
Note
Cette page n'apparaît que si la case Journaux activés a été cochée sur la page de configuration
du serveur mandataire.
À cause du volume potentiellement important d'information à traiter, cette page peut
demander quelques instants à s'afficher la première fois et à chaque mise à jour.
Plusieurs éléments de contrôle vous sont proposés en plus des listes déroulantes Mois:, Jour:, et Mise
à jour précédemment décrits :
• la liste déroulante Source IP: vous permet de choisir l'activité du mandataire Web relative à une
adresse IP particulière ou à toutes les machines de votre réseau grâce au choix TOUT.
• l'entrée Filtre: peut être utilisée pour ne pas afficher les traces relatives aux fichiers dont l'extension
est reconnue par cette expression rationnelle. Sa valeur par défaut permet d'ignorer les traces
relatives aux images (fichiers d'extensions .gif, .jpeg, .png & .png), aux feuilles de style (.css) et
aux fichiers JavaScript (.js).
• la case à cocher Activation du filtre: commande l'utilisation ou non du filtre précédent.
• le bouton Restaurer les paramètres par défaut réinitialise l'état des contrôles (tel que le filtre).
Pour cette page, les données affichées dans la section Journaux sont les suivantes :
• l'Heure à laquelle le fichier a été demandé et mis en cache ;
• l'Adresse IP de la machine locale du demandeur ;
• le Site web - ou plus précisément l'URL - de chaque fichier demandé et mis en cache.
Note
Les URL de la colonne Sites web sont affichées sous forme d'hyperliens pointant vers les
pages web ou les fichiers concernés.
59
Figure 2.35. Affichage des traces du serveur mandataire
Page Journaux du pare-feu
Cette page donne un compte rendu des paquets de données bloqués par la fonction pare-feu d'IPCop.
Note
Tous les paquets bloqués ne sont pas forcément des tentatives hostiles d'accès à votre réseau
par des pirates. Il est ainsi fréquent de bloquer certains paquets pour des raisons tout à fait
anodines. C'est le cas par exemple des tentatives de connexion au port "ident/auth" (113), qui
sont bloquées par défaut sur IPCop.
Cette page propose les éléments de contrôle détaillés précédemment : listes déroulantes Mois et Jour,
boutons << (Jour précédent), >> (Jour suivant), Mise à jour et Exporter.
L'encadré Journaux: de cette page contient une ligne pour chaque paquet écarté par le pare-feu. Lui
sont associés l'heure de récéption du paquet, les adresses IP source et destination ainsi que le protocole
et le port concernés. Chaque entrée permet en plus d'identifier la chaîne - au sens IPTable - ayant
conduit au rejet et l'interface réseau d'IPCop impliquée.
Vous pouvez obtenir des informations sur les adresses IP en cliquant dessus. IPCop effectue alors
une recherche DNS inversée et affiche les informations disponibles concernant l'enregistrement et le
propriétaire de l'adresse en question.
60
Figure 2.36. Affichage des traces du pare-feu
Page Journaux IDS
Cette page affiche les incidents détectés par l'IDS (ou Système de Détection d'Intrusion) d'IPCop. Par
défaut, l'IDS est inactif et doit donc être explicitement activé depuis la page d'administration spécifique
(Services > Détection Intrusion).
Cette page propose les éléments de contrôle détaillés précédemment : listes déroulantes Mois et Jour,
boutons << (Jour Précédent), >> (Jour Suivant), Mise à jour et Exporter. Ils vous permettent d'examiner
les traces de l'IDS pour un jour particulier. Pour chaque incident, vous retrouvez les informations
suivantes :
• Date: - la date et l'heure de l'incident.
• Nom: - une description rapide de l'incident.
• Priorité: (si disponible) - la criticité de l'incident : 1 ("sérieux"), 2 ("pas si sérieux"), et 3
("éventuellement sérieux").
• Type: (si disponible) - une description générale de l'incident.
• Informations sur l'adresse IP: - l'identité IP (adresse & port) de la source et de la cible impliquées
dans l'incident. Chaque adresse IP est un hyperlien que vous pouvez utiliser pour lancer une
recherche DNS inversée donnant accès aux détails de propriété de l'adresse.
• Références: - d'éventuelles adresses web pour des informations complémentaires sur l'incident.
• SID: (si disponible) - l'identifiant Snort. "Snort" est le module logiciel utilisé par IPCop pour
la fonctionnalité d'IDS, et le SID est un code interne à Snort pour identifier un type spécifique
d'attaque. Ce champ est un hyperlien vers la page Web adéquate dans la base de données des
signatures d'intrusions connues de Snort.
61
Figure 2.37. Affichage des traces de l'IDS
Page Journaux système
Cette page affiche les traces propres au système ainsi que d'autres traces diverses. Consultez le début
de cette section pour l'utilisation des contrôles habituels : Mois, Jour, << (Jour précédent), >> (Jour
suivant) et Mise à jour. La liste déroulante Section permet l'accès à onze catégories de traces :
• IPCop (défaut) - les événements IPCop comme les sauvegardes de profils PPP et les traces de
connexion ("PPP has gone up on ppp0 ") et de déconnexion ("PPP has gone down
on ppp0 ") d'un modem.
• RED - le trafic envoyé par l'interface qui fournit l'interface PPP pour IPCop. Ceci inclut les données
envoyées et reçues de modems et autres interfaces réseaux. Dans le cas de problèmes de connexion,
ces traces sont souvent d'un grand secours.
• DNS - les traces de l'activité de dnsmasq, l'utilitaire pour la résolution de nom DNS.
• Serveur DHCP - les informations sur l'activité du serveur DHCP fourni par IPCop.
• SSH - la liste des utilisateurs qui se sont connectés et déconnectés du serveur IPCop par le réseau
en SSH.
• NTP - l'activité de la fonction serveur de temps d'IPCop.
• Cron - les traces de l'ordonnanceur cron.
• Login/Logout- la liste des connexions d'utilisateurs (et déconnexions) sur le serveur IPCop. Ceci
inclut à la fois les connexions locales et celles à distance par le biais de l'interface SSH.
• Noyau - l'activité du noyau Linux du serveur IPCop.
• IPSec - l'activité d'IPSec - le module logiciel qu'IPCop utilise pour le VPN.
• Mise à jour - les résultats d'applications des mises à jour d'IPCop faites depuis la page Système >
Mises à jour.
62
• Snort - l'activité de SNORT, le système de détection d'intrusion.
Figure 2.38. Affichage des traces système
63
Annexe A. GNU Free Documentation
License
Version 1.2, November 2002
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston,
MA 02111-1307 USA. Everyone is permitted to copy and distribute verbatim copies of this license
document, but changing it is not allowed.
0. Preamble
The purpose of this License is to make a manual, textbook, or other functional and useful document
« free » in the sense of freedom: to assure everyone the effective freedom to copy and redistribute
it, with or without modifying it, either commercially or noncommercially. Secondarily, this License
preserves for the author and publisher a way to get credit for their work, while not being considered
responsible for modifications made by others.
This License is a kind of « copyleft », which means that derivative works of the document must
themselves be free in the same sense. It complements the GNU General Public License, which is a
copyleft license designed for free software.
We have designed this License in order to use it for manuals for free software, because free software
needs free documentation: a free program should come with manuals providing the same freedoms
that the software does. But this License is not limited to software manuals; it can be used for any
textual work, regardless of subject matter or whether it is published as a printed book. We recommend
this License principally for works whose purpose is instruction or reference.
1. Applicability and Definitions
This License applies to any manual or other work, in any medium, that contains a notice placed by
the copyright holder saying it can be distributed under the terms of this License. Such a notice grants
a world-wide, royalty-free license, unlimited in duration, to use that work under the conditions stated
herein. The « Document », below, refers to any such manual or work. Any member of the public is
a licensee, and is addressed as « you ». You accept the license if you copy, modify or distribute the
work in a way requiring permission under copyright law.
A « Modified Version » of the Document means any work containing the Document or a portion of
it, either copied verbatim, or with modifications and/or translated into another language.
A « Secondary Section » is a named appendix or a front-matter section of the Document that deals
exclusively with the relationship of the publishers or authors of the Document to the Document's
overall subject (or to related matters) and contains nothing that could fall directly within that overall
subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may not
explain any mathematics.) The relationship could be a matter of historical connection with the subject
or with related matters, or of legal, commercial, philosophical, ethical or political position regarding
them.
The « Invariant Sections » are certain Secondary Sections whose titles are designated, as being those of
Invariant Sections, in the notice that says that the Document is released under this License. If a section
does not fit the above definition of Secondary then it is not allowed to be designated as Invariant.
The Document may contain zero Invariant Sections. If the Document does not identify any Invariant
Sections then there are none.
The « Cover Texts » are certain short passages of text that are listed, as Front-Cover Texts or BackCover Texts, in the notice that says that the Document is released under this License. A Front-Cover
Text may be at most 5 words, and a Back-Cover Text may be at most 25 words.
64
GNU Free Documentation License
A « Transparent » copy of the Document means a machine-readable copy, represented in a format
whose specification is available to the general public, that is suitable for revising the document
straightforwardly with generic text editors or (for images composed of pixels) generic paint programs
or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters
or for automatic translation to a variety of formats suitable for input to text formatters. A copy made
in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to
thwart or discourage subsequent modification by readers is not Transparent. An image format is not
Transparent if used for any substantial amount of text. A copy that is not « Transparent » is called
« Opaque ».
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo
input format, LaTeX input format, SGML or XML using a publicly available DTD, and standardconforming simple HTML, PostScript or PDF designed for human modification. Examples of
transparent image formats include PNG, XCF and JPG. Opaque formats include PostScript, PDF,
proprietary formats that can be read and edited only by proprietary word processors, SGML or XML
for which the DTD and/or processing tools are not generally available, and the machine-generated
HTML, PostScript or PDF produced by some word processors for output purposes only.
The « Title Page » means, for a printed book, the title page itself, plus such following pages as are
needed to hold, legibly, the material this License requires to appear in the title page. For works in
formats which do not have any title page as such, « Title Page » means the text near the most prominent
appearance of the work's title, preceding the beginning of the body of the text.
A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ
or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ
stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications",
"Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the
Document means that it remains a section "Entitled XYZ" according to this definition.
The Document may include Warranty Disclaimers next to the notice which states that this License
applies to the Document. These Warranty Disclaimers are considered to be included by reference in
this License, but only as regards disclaiming warranties: any other implication that these Warranty
Disclaimers may have is void and has no effect on the meaning of this License.
2. Verbatim Copying
You may copy and distribute the Document in any medium, either commercially or noncommercially,
provided that this License, the copyright notices, and the license notice saying this License applies to
the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of
this License. You may not use technical measures to obstruct or control the reading or further copying
of the copies you make or distribute. However, you may accept compensation in exchange for copies.
If you distribute a large enough number of copies you must also follow the conditions in section 3.
You may also lend copies, under the same conditions stated above, and you may publicly display
copies.
3. Copying In Quantity
If you publish printed copies (or copies in media that commonly have printed covers) of the Document,
numbering more than 100, and the Document's license notice requires Cover Texts, you must enclose
the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the
front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify
you as the publisher of these copies. The front cover must present the full title with all words of the
title equally prominent and visible. You may add other material on the covers in addition. Copying
with changes limited to the covers, as long as they preserve the title of the Document and satisfy these
conditions, can be treated as verbatim copying in other respects.
If the required texts for either cover are too voluminous to fit legibly, you should put the first ones
listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.
65
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either
include a machine-readable Transparent copy along with each Opaque copy, or state in or with each
Opaque copy a computer-network location from which the general network-using public has access
to download using public-standard network protocols a complete Transparent copy of the Document,
free of added material. If you use the latter option, you must take reasonably prudent steps, when you
begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus
accessible at the stated location until at least one year after the last time you distribute an Opaque copy
(directly or through your agents or retailers) of that edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing
any large number of copies, to give them a chance to provide you with an updated version of the
Document.
4. Modifications
You may copy and distribute a Modified Version of the Document under the conditions of sections
2 and 3 above, provided that you release the Modified Version under precisely this License, with the
Modified Version filling the role of the Document, thus licensing distribution and modification of
the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the
Modified Version:
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and
from those of previous versions (which should, if there were any, be listed in the History section
of the Document). You may use the same title as a previous version if the original publisher of that
version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of
the modifications in the Modified Version, together with at least five of the principal authors of
the Document (all of its principal authors, if it has fewer than five), unless they release you from
this requirement.
C. State on the Title page the name of the publisher of the Modified Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice giving the public permission to use
the Modified Version under the terms of this License, in the form shown in the Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given
in the Document's license notice.
H. Include an unaltered copy of this License.
I. Preserve the section entitled « History », Preserve its Title, and add to it an item stating at least the
title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there
is no section Entitled « History » in the Document, create one stating the title, year, authors, and
publisher of the Document as given on its Title Page, then add an item describing the Modified
Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy
of the Document, and likewise the network locations given in the Document for previous versions it
was based on. These may be placed in the « History » section. You may omit a network location for
a work that was published at least four years before the Document itself, or if the original publisher
of the version it refers to gives permission.
K. In any section Entitled « Acknowledgements » or « Dedications », Preserve the Title of the section,
and preserve in the section all the substance and tone of each of the contributor acknowledgements
and/or dedications given therein.
66
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section
numbers or the equivalent are not considered part of the section titles.
M.Delete any section Entitled « Endorsements ». Such a section may not be included in the Modified
Version.
N. Do not retitle any existing section to be Entitled « Endorsements » or to conflict in title with any
Invariant Section.
O. Preserve any Warranty Disclaimers.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary
Sections and contain no material copied from the Document, you may at your option designate some
or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the
Modified Version's license notice. These titles must be distinct from any other section titles.
You may add a section Entitled « Endorsements », provided it contains nothing but endorsements of
your Modified Version by various parties--for example, statements of peer review or that the text has
been approved by an organization as the authoritative definition of a standard.
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as
a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage
of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made
`by) any one entity. If the Document already includes a cover text for the same cover, previously
added by you or by arrangement made by the same entity you are acting on behalf of, you may not
add another; but you may replace the old one, on explicit permission from the previous publisher that
added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their
names for publicity for or to assert or imply endorsement of any Modified Version.
5. Combining Documents
You may combine the Document with other documents released under this License, under the terms
defined in section 4 above for modified versions, provided that you include in the combination all of the
Invariant Sections of all of the original documents, unmodified, and list them all as Invariant Sections
of your combined work in its license notice, and that you preserve all their Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant
Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same
name but different contents, make the title of each such section unique by adding at the end of it, in
parentheses, the name of the original author or publisher of that section if known, or else a unique
number. Make the same adjustment to the section titles in the list of Invariant Sections in the license
notice of the combined work.
In the combination, you must combine any sections Entitled « History » in the various original
documents, forming one section Entitled « History »; likewise combine any sections Entitled
« Acknowledgements », and any sections Entitled « Dedications ». You must delete all sections
Entitled « Endorsements. »
6. Collections of Documents
You may make a collection consisting of the Document and other documents released under this
License, and replace the individual copies of this License in the various documents with a single
copy that is included in the collection, provided that you follow the rules of this License for verbatim
copying of each of the documents in all other respects.
You may extract a single document from such a collection, and distribute it individually under this
License, provided you insert a copy of this License into the extracted document, and follow this License
in all other respects regarding verbatim copying of that document.
67
7. Aggregation With Independent Works
A compilation of the Document or its derivatives with other separate and independent documents or
works, in or on a volume of a storage or distribution medium, is called an « aggregate » if the copyright
resulting from the compilation is not used to limit the legal rights of the compilation's users beyond
what the individual works permit. When the Document is included an aggregate, this License does not
apply to the other works in the aggregate which are not themselves derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the
Document is less than one half of the entire aggregate, the Document's Cover Texts may be placed
on covers that bracket the Document within the aggregate, or the electronic equivalent of covers if
the Document is in electronic form. Otherwise they must appear on printed covers that bracket the
whole aggregate.
8. Translation
Translation is considered a kind of modification, so you may distribute translations of the Document
under the terms of section 4. Replacing Invariant Sections with translations requires special permission
from their copyright holders, but you may include translations of some or all Invariant Sections in
addition to the original versions of these Invariant Sections. You may include a translation of this
License, and all the license notices in the Document, and any Warrany Disclaimers, provided that you
also include the original English version of this License and the original versions of those notices and
disclaimers. In case of a disagreement between the translation and the original version of this License
or a notice or disclaimer, the original version will prevail.
If a section in the Document is Entitled « Acknowledgements », « Dedications », or « History », the
requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title.
9. Termination
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for
under this License. Any other attempt to copy, modify, sublicense or distribute the Document is void,
and will automatically terminate your rights under this License. However, parties who have received
copies, or rights, from you under this License will not have their licenses terminated so long as such
parties remain in full compliance.
10. Future Revisions of This License
The Free Software Foundation may publish new, revised versions of the GNU Free Documentation
License from time to time. Such new versions will be similar in spirit to the present version, but may
differ in detail to address new problems or concerns. See the GNU Free Documentation License
[http://www.gnu.org/licenses/licenses.html#FDL] web site.
Each version of the License is given a distinguishing version number. If the Document specifies that
a particular numbered version of this License « or any later version » applies to it, you have the option
of following the terms and conditions either of that specified version or of any later version that has
been published (not as a draft) by the Free Software Foundation. If the Document does not specify
a version number of this License, you may choose any version ever published (not as a draft) by the
Free Software Foundation.
68

Manuel d`Administration

Transcription

Documents pareils

IPCOP – OpenVPN

PARE-FEU : « IPCOP »

TP Installation et configuration du firewall logiciel IPCOP

Auteur : MICJ 23/02/2004 Mise en page PDF: Anapivirtua 06/07/2005

Epreuve U5R2 - Luc Faucher

Administration URLfilter

Connaissances informatiques Formations Expériences

Exercices de révision Complétez avec les verbes AVOIR ou ÊTRE

assemblage du brassard lumineux

Projet ADISPO-2 Evolution du réseau Maison des