ipcop admin fr

Manuel d'Administration

Chris ClanceyHarry Goldschmitt

John KastnerEric Oberlander

Peter Walker

Manuel d'Administrationpar Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, et Peter WalkerVersion française : Patrick Bernaud, Éric Boniface, Stéphane Chartier, Olivier Gey, Erwann Simon

Publié le 30 avril 2008Copyright © 2002-2008 Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, Peter Walker

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2or any later version published by the Free Software Foundation; with no Invariant Sections, with no Front-Cover Texts, and with no Back-Cover Texts. A copy of the license is included in the section entitled GNU Free Documentation License.

Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNUFree Documentation License), version 1.2 ou toute version ultérieure publiée par la Free Software Foundation ; sans Section Invariable ; sansTexte de Première de Couverture, et sans Texte de Quatrième de Couverture. Une copie de la présente Licence est incluse dans la sectionintitulée GNU Free Documentation License.

iii

Table des matièresAvant-propos ............................................................................................................ vi

Mentions légales ................................................................................................ viPréface ............................................................................................................ vi

1. Introduction par le Chef de Projet ............................................................................... 1Qu'est ce qu'IPCop ? ........................................................................................... 1Aperçu des fonctionnalités ................................................................................... 1Remerciements ................................................................................................... 2

2. Administration et Configuration .................................................................................. 5Page d'accueil de l'interface d'administration .............................................................. 5Pages de l'onglet Système .................................................................................... 7

Page Mises à jour ....................................................................................... 8Page Mots de passe ................................................................................... 10Page Accès SSH ....................................................................................... 10Page Interface Graphique ............................................................................ 14Page Sauvegarde ....................................................................................... 15Page Arrêter ............................................................................................. 17

Pages de l'onglet État ........................................................................................... 18Page État du système ................................................................................... 18Page État du réseau ..................................................................................... 20Page Graphiques système .............................................................................. 21Page Courbes de trafic ................................................................................. 22Page Graphes du proxy ................................................................................ 23Connexions ................................................................................................ 23

Pages de l'onglet Réseau .................................................................................... 24Page Connexion ........................................................................................ 24Page Chargement ...................................................................................... 26Page Modem ............................................................................................ 27Page Configuration alias externes ................................................................. 28

Pages de l'onglet Services ................................................................................... 29Page Serveur mandataire (proxy) ................................................................. 30Page Serveur DHCP .................................................................................. 31Page DNS Dynamique ............................................................................... 37Écran Hôtes statiques ................................................................................. 39Page Serveur de temps ............................................................................... 40Page Lissage du trafic (shaping) .................................................................. 42Page Détection d'intrusion .......................................................................... 44

Pages de l'onglet Pare-feu ..................................................................................... 45Quels sont les flux autorisés entre les différentes interfaces réseau d'IPCop ? ......... 45Personnalisation par l'utilisateur ................................................................... 46Page Transferts de ports ............................................................................. 46Page Accès externes .................................................................................. 48Page Accès à la DMZ ................................................................................ 49Page Accès BLEU .................................................................................... 51Page Options du firewall ............................................................................ 53

Pages de l'onglet RPVs ...................................................................................... 53Virtual Private Networks (VPNs) ou Réseau Privé Virtuel (RPV) ....................... 53Encadré Paramètres généraux ...................................................................... 53Encadré Contrôle et statut de la connexion ..................................................... 54Encadré Autorités de certification ................................................................. 56

Pages de l'onglet Journaux .................................................................................. 56Introduction ................................................................................................ 56Page Configuration des journaux .................................................................... 56Page Résumé des journaux ......................................................................... 57Page Journaux du serveur mandataire ............................................................ 57Page Journaux du pare-feu .......................................................................... 59

Manuel d'Administration

iv

Page Journaux IDS .................................................................................... 59Page Journaux système .............................................................................. 60

A. GNU Free Documentation License ............................................................................. 620. Preamble ........................................................................................................ 621. Applicability and Definitions ............................................................................. 622. Verbatim Copying ........................................................................................... 633. Copying In Quantity ........................................................................................ 634. Modifications .................................................................................................. 645. Combining Documents ..................................................................................... 656. Collections of Documents ................................................................................. 657. Aggregation With Independent Works ................................................................. 668. Translation ..................................................................................................... 669. Termination .................................................................................................... 6610. Future Revisions of This License ...................................................................... 66

v

Liste des illustrations2.1. Page d'accueil Page ................................................................................................. 52.2. Page d'accueil, connexion de type Ethernet .................................................................. 62.3. Page d'accueil, connexion par modem ......................................................................... 62.4. Accès SSH et clés d'hôte SSH ................................................................................. 112.5. Configuration de l'interface graphique ....................................................................... 142.6. Sauvegarde de la configuration ........................................................................... 2.7. Arrêt et planification des redémarrages ..................................................................... 172.8. Paramétrages PPP ................................................................................................. 262.9. Chargement des firmwares des modems .................................................................... 272.10. Paramétrage Modem ............................................................................................ 282.11. Paramétrages des alias externes .............................................................................. 292.12. Options additionnelles DHCP ................................................................................ 342.13. Ajout d'un nouveau bail fixe .................................................................................. 352.14. Liste des baux fixes ............................................................................................. 362.15. Baux dynamiques en cours .................................................................................... 372.16. Paramètres du DNS dynamique .............................................................................. 382.17. Écran d'ajout d'un nom d'hôte ................................................................................ 392.18. Liste des hôtes configurés ..................................................................................... 402.19. Paramétrage du serveur de temps ........................................................................... 412.20. Mise à jour manuelle de l'heure ............................................................................. 422.21. Configuration du lissage de trafic ........................................................................... 432.22. Configuration de la détection d'intrusion .................................................................. 442.23. Flux IP .............................................................................................................. 452.24. Paramétrage des transferts de ports ......................................................................... 472.25. Configuration des accès externes ............................................................................ 492.26. Paramétrage des accès depuis la DMZ ..................................................................... 502.27. Paramétrage de l'accès BLEU ................................................................................ 522.28. Options du pare-feu ............................................................................................. 532.29. Paramètres généraux du VPN ................................................................................ 532.30. Encadré de contrôle et de statut : vue initiale ............................................................ 542.31. Sélection du type de connexion VPN ...................................................................... 542.32. Saisie d'une connexion VPN Serveur-à-Réseau .......................................................... 542.33. Paramètres d'une connexion VPN Réseau-à-Réseau .................................................... 552.34. Paramètres pour l'authentification ........................................................................... 552.35. Autorités de certification : vue initiale ..................................................................... 562.36. Configuration des journaux ................................................................................... 572.37. Affichage du résumé des traces .............................................................................. 572.38. Affichage des traces du serveur mandataire .............................................................. 582.39. Affichage des traces du pare-feu ............................................................................ 592.40. Affichage des traces de l'IDS ................................................................................. 602.41. Affichage des traces système ................................................................................. 61

vi

Avant-proposMentions légales

IPCop est sous Copyright du IPCop Linux Group.

IPCop Linux est couvert par la GNU General Public License. Pour plus d'informations, consultez lesite web d'IPCop. [http://www.ipcop.org] Vous avez le droit de copier tout ou partie de ce documentdu moment que cette déclaration de copyright accompagne la copie. Les informations contenues dansce document sont susceptibles de changer d'une version à l'autre.

Tout a été fait pour que le contenu de ce document soit exact et à jour. Cependant l'absence d'erreur nepeut être garantie. De ce fait, IPCop décline toute garantie explicite ou implicite quant aux éventuelleserreurs contenues dans ce manuel et aux dégâts qu'elles pourraient entraîner sur la disponibilité ou laperformance du produit.

L'usage dans ce document de noms dans un sens général, de noms d'entreprises, de noms de marques,etc ne signifie pas que leur usage est « libre » selon les termes de la législation sur les marques etqu'ils peuvent être utilisés par tous.

Tous les noms de marques sont utilisés sans garantie de libre utilisation et peuvent être des marquesenregistrées. En règle générale, IPCop se conforme à la notation adoptée par le fabricant. Les autresproduits mentionnés peuvent être des marques enregistrées par leurs fabricants respectifs.

Première Édition - 29 décembre 2001

Rédacteur - Charles Williams.

Je souhaite remercier toutes les personnes qui ont vérifiées et corrigées ce document, à savoir : HarryGoldschmitt, Mark Wormgoor, Eric S. Johansson et le reste du groupe IPCop Linux.

Seconde Édition - 10 janvier 2003

Rédacteurs - Chris Clancey, James Brice, Harry Goldschmitt, and Rebecca Ward.

Troisième Édition - 25 avril 2003

Rédacteurs - Chris Clancey, Harry Goldschmitt, and Rebecca Ward.

Quatrième Édition - 25 septembre 2004

Rédacteurs - Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander and Peter Walker.

PréfaceBonjour. Au nom de notre Chef de Projet, Jack Beglinger, l'équipe de Documentation vous souhaitela bienvenue dans ce Manuel d'Administration d'IPCop. Nous profitons d'ailleurs de ce documentpour vous remercier d'évaluer notre pare-feu et nous espérons qu'il satisfait à vos besoins. L'équipeveut également remercier, pour sa présence et sa précieuse assistance aux utilisateurs novices ouexpérimentés, la communauté bâtie autour d'IPCop Linux. Nous souhaitons enfin remercier l'équipeSmoothWall pour avoir fait naître cette communauté.

Que vous soyez un utilisateur convaincu mettant à jour son installation ou bien un nouvel utilisateurpréparant sa première installation, nous espérons que vous trouverez dans ces pages tout ce qui vousest nécessaire pour prendre en main votre nouvel IPCop. Si, pour une raison ou pour une autre, quelquechose n'est pas traité ici et que vous estimez qu'il le devrait, prenez contact avec nous pour nous lefaire savoir. Nous aimons avoir un retour de nos utilisateurs (en réalité, certains parmi nous sont seuls,assis derrière leur écran à longueur de journées : un petit message ne peut que leur faire plaisir) et

http://www.ipcop.org


Avant-propos

vii

nous ferons de notre mieux pour vous satisfaire. Vous pouvez maintenant vous relaxer et profiterpleinement de l'Internet sans souci.

Voici tout de même quelques pistes pour celles et ceux qui ne souhaitent pas prendre le temps de lirece manuel et sont trop impatients de pouvoir utiliser leur IPCop. La première version d'IPCop était enfait une version intermédiaire pour nous permettre d'identifier les problèmes de la distribution IPCopLinux. Nous en sommes maintenant à la troisième publication réelle. S'il vous arrivait de découvrirun problème, commencez par vérifier qu'il n'est pas traité dans la Foire Aux Questions d'IPCop. Nousfaisons notre possible pour maintenir à jour cette FAQ à chaque nouveau problème détecté et résolu(que cela soit en le contournant temporairement ou en apportant une solution définitive).

Si votre problème ne trouve pas sa réponse dans la FAQ, il est toujours possible de nous rejoindre surIRC (serveur : irc.openprojects.net canal: #ipcop), d'appeler à l'aide sur une des listes de diffusion duprojet ou bien encore de contacter directement le groupe IPCop Linux pour assistance. Comprenezbien que vous obtiendrez plus rapidement une réponse avec les trois premières méthodes. En effet,le délai de réponse d'une requête envoyée directement au groupe IPCop Linux est proportionnel à lacharge du développement assuré par l'équipe.

Vous pourrez trouver de plus amples informations, des réponses aux questions fréquemment posées,les adresses des listes de diffusion et les coordonnées complètes pour contacter le groupe IPCop Linuxsur notre site web : Site Web IPCop. [http://www.ipcop.org]



1

Chapitre 1. Introduction par le Chefde Projet

Bienvenue et merci d'évaluer ou d'utiliser IPCop.

Qu'est ce qu'IPCop ?Eh oui, qu'est ce que c'est qu'IPCop ?

1. IPCop est un pare-feu et il le restera.

2. IPCop est une distribution Linux spécialisée, complète, adaptée et prête à protéger vos réseauxinformatiques. Elle est pour cela distribuée sous les termes de la GNU General Public License[http://www.gnu.org/licenses/gpl.html] : son code source peut être téléchargé, évalué et mêmemodifié. Elle peut être entièrement recompilée par vos soins pour servir au mieux vos besoinspersonnels ou répondre à des impératifs de sécurité particuliers.

3. IPCop est une communauté dont les membres s'entraident avec le souci de toujours faire progresserle projet. Il peut s'agir d'expliquer à des débutants les bases des réseaux informatiques ou d'aider àla personnalisation d'IPCop pour des besoins spécifiques tels que la téléphonie par Internet (VoIP)et l'implantation d'IPCop en entreprise.

La réponse correcte à cette question piège est donc : les trois à la fois.

Motivations :

IPCop a été créé en réponse à plusieurs besoins. Le premier d'entre eux était le besoin d'une protectionsûre et efficace de nos réseaux qu'ils soient personnels ou d'entreprises. Lorsque le projet IPCop a étélancé en octobre 2001, il existait déjà d'autres pare-feu. Mais l'équipe IPCop d'alors a considéré qu'ilsne satisfaisaient pas à deux autres des besoins précédents : GPL et le sens de la communauté.

Le groupe fondateur d'IPCop a alors décidé de partir du code de base d'un pare-feu sous GPL etde faire les choses différemment. L'objectif était de remanier ce code pour se mettre à l'écoute desattentes de sa communauté d'utilisateurs. Parmi ces attentes se trouvaient celle de laisser à chaqueutilisateur la possibilité de créer son propre IPCop, celle de proposer et d'ajouter des améliorations etcelle d'apprendre grâce au travail des autres. C'est grâce à ces objectifs clairs, en étudiant l'existant eten écoutant ses utilisateurs qu'IPCop a pu progresser et progresse toujours. Cette communauté permetà IPCop de mûrir et IPCop l'aide à progresser.

Aujourd'hui, après près de deux ans et demi, la première révision majeure d'IPCop est publiée. Avecelle, nombre de fonctionnalités intéressantes ont été ajoutées : le support de quatre réseaux, la détectiond'intrusion sur tous les réseaux et une nouvelle interface encore plus pratique n'en sont que quelquesexemples.

Encore une fois, soyez les bienvenus dans IPCop !

Jack Beglinger Chef du Projet IPCop

Aperçu des fonctionnalités• filtrage réseau par IPTable ;• support des disques IDE, SCSI et CF (Disk on Chip) ;

http://www.gnu.org/licenses/gpl.html

http://www.gnu.org/licenses/gpl.html

Introduction par le Chef de Projet

2

• possibilité d'organisation du parc en quatre réseaux :

• VERT — Réseau interne de confiance ;

• BLEU — Réseau sans-fil, confiance limitée (peut également être utilisé en deuxième réseauVERT) ;

• ORANGE — Zone délimitarisée (DMZ) pour les serveurs accessibles depuis l'extérieur ;

• RED — Réseau de connexion à l'Internet par :

• modem RTC

• ISDN

• carte d'interface réseau connectée à :

• un modem DSL,

• un modem-câble.

• USB connecté (avec les pilotes matériels appropriés) à :

• un modem DSL,

• un modem-câble.• support de plusieurs « réelles » adresses IP sur le réseau ROUGE dans une configuration à IP

statique ;• client DHCP sur le réseau ROUGE pour obtenir l'adresse IP du FAI, avec en plus la gestion du

DNS dynamique au changement d'IP ;• serveur DHCP sur les réseaux VERT et BLEU pour simplifier la mise en place et la maintenance

des réseaux ;• client NTP pour le réglage automatique de l'heure de la machine IPCop et serveur NTP pour les

machines des réseaux VERT et BLEU ;• sonde de détection d'intrusions sur TOUS les réseaux (ROUGE, ORANGE, BLEU et VERT) ;• Réseau Privé Virtuel (RPV ou VPN) pour interconnecter plusieurs sites distants dans un unique

grand réseau logique ;• serveur mandataire Web et DNS pour diminuer les temps de connexion et simplifier la gestion du

réseau ;• administration de la machine, après installation, par une interface web sécurisée permettant :

• l'affichage des performances du processeur, de la mémoire et des disques ainsi que le trafic réseaupar des graphiques ;

• la visualisation des journaux d'évènement et l'archivage automatique de ces derniers ;

• le choix entre plusieurs langues.• utilisation possible de matériel dépassé : 386 ou mieux. La version 1.4 a été testée avec succès sur

un 486sx25 disposant de 12Mo de RAM et 273Mo de disque dur. Il s'agissait de la plus ancienne etla plus modeste des machines disponibles au moment du test. L'installation a été faite par le réseau.Cette configuration s'est avérée tout à fait correcte pour une connexion par modem-câble à 3Mb/s.

RemerciementsIPCop est tout à la fois un projet collaboratif et un projet reposant sur des composants existantsde grande qualité. Ces remerciements sont adressés à nombre de personnes ayant aidé directementou indirectement, ainsi qu'à tous ceux, anonymes, qui ont permis le développement du projet maisdont le nombre nous empêche de les lister ici. À ces derniers, j'adresse personnellement tous mesremerciements et mes excuses pour l'absence de leur nom.


3

Pour tout le reste, merci… Une liste plus complète et à jour est consultable directement sur la pageSystème#Crédits de votre IPCop.

Équipe principale

• Mark Wormgoor — Développeur Principal.

• Alan Hourihane — Développeur SMP & SCSI.

• Gilles Espinasse —.

• Harry Goldschmitt — Chef de l'Équipe de Documentation.

• Eric Oberlander — Développeur & Coordinateur Traductions.

Développeurs. Mark Wormgoor, Alan Hourihane, Eric S. Johansson, Darren Critchley, RobertKerr, Gilles Espinasse, Steve Bootes, Graham Smith, Robert Wood, Eric Oberlander, Tim Butterfieldet David Kilpatrick.

Équipe de documentation. Harry Goldschmitt, Chris Clancey, John Kastner, Eric Oberlander,Peter Walker.

Équipes de traduction.

• Coordinatrice traductions : Rebecca Ward

• Développeur site Web/base de données traductions : Marco van Beek

• Afrikaans : Johann du Preez

• Arabe : Ghalia Saleh Shariha, Salma Mahmod Ashour

• Bulgare : Alexander Dimitrov

• Portugais brésilien : Edson-Empresa, Claudio Corrêa Porto, Adilson Oliveira, Mauricio Andrade,Wladimir Nunes.

• Catalan : Albert Ferran Casas, Sergi Valls, Josep Sanchez, Toni

• Chinois (simplifié) : Vince Chu, Yuan-Chen Cheng, Sohoguard.

• Chinois (traditionnel) : Ronald Ng.

• Tchèque : Petr Dvoracek, Jakub Moc.

• Danois : Michael Rasmussen.

• Hollandais : Gerard Zwart, Berdt van der Lingen, Tony Vroon, Mark Wormgoor, Maikel Punie.

• Finois : Kai Käpölä.

• Français : Bertrand Sarthre, Michel Janssens, Erwann Simon, Patrick Bernaud, MarcFaid'herbe, Eric Legigan, Eric Berthomier, Stéphane Le Bourdon, Stéphane Thirion, Jan M.Dziewulski,spoutnik, Eric Darriak, Eric Boniface, Franck Bourdonnec.

• Allemand : Dirk Loss, Ludwig Steininger, Helmet, Markus, Michael Knappe, Michael Linke,Richard Hartmann, Ufuk Altinkaynak, Gerhard Abrahams, Benjamin Kohberg, Samuel Wiktor.

• Grec : Spyros Tsiolis, A. Papageorgiou, G. Xrysostomou.

• Gujarâtî : Kartik Mistry

• Hongrois : Ádám Makovecz, Ferenc Mányi-Szabó.


4

• Italien : Fabio Gava, Antonio Stano, Marco Spreafico.

• Japonais : Adam Barbary Raina Otoni

• Latino Spanish : Fernando Diaz.

• Lituanien: Aurimas Fi#eras.

• Norvégien : Morten Grendal, Alexander Dawson, Mounir S. Chermiti, Runar Skraastad, Alf-IvarHolm.

• Persan (farsi) : Ali Tajik, A T Khalilian.

• Polonais : Jack Korzeniowski, Piotr, Andrzej Zolnierowicz, Remi Schleicher.

• Portugais : Luis Santos, Renato Kenji Kano, Mark Peter, Wladimir Nunes, Daniela Cattarossi.

• Roumain : Viorel Melinte.

• Russe/ukrainien : Vladimir Grichina, Vitaly Tarasov.

• Slovaque : Milo# MrÃ¡z, Drlik Zbynek.

• Slovène : Miha Martinec, Grega Varl.

• Somalien : Mohamed Musa Ali.

• Espagnol : Curtis Anderson, Diego Lombardia, Mark Peter, QuiQue Soriano, David CabreraLozano, Jose Sanchez, Santiago Cassina, Marcelo Zunino, Alfredo Matignon, Juan Janczuk.

• Suédois : Anders Sahlman, Christer Jonson.

• Thaï : Touchie.

• Turc : Ismail Murat Dilek, Emre Sumengen.

• Ourdou : Mudassar Iqbal

• Vietnamien : Le Dinh Long.

Autres projets et sociétés : Traverse Technologies — Improved Dual ISDN and DOV support,Linux from Scratch (LFS) — base de code pour IPCop 1.4, FreeSwan et OpenFreeSwan — IPSec etlogiciel de VPN, Smoothwall — origine et source d'inspiration du projet, … ainsi que d'autres tropnombreux pour les citer tous.

5

Chapitre 2. Administration etConfigurationPage d'accueil de l'interface d'administration

Figure 2.1. Page d'accueil Page

Pour accéder à l'interface d'administration d'IPCop, il suffit d'ouvrir un navigateur et d'entrer enadresse soit l'adresse IP de l'interface VERTE, soit le nom d'hôte du serveur IPCop, le tout suivi dunuméro de port 445 (https/secure) ou 81 (redirigé automatiquement vers 445) : https://ipcop:445 ouhttps://192.168.10.1:445 ou http://ipcop:81 ou http://192.168.10.1:81.

Remarque : abandon de l'écoute sur le port 81 en HTTP

À compter de la version 1.4.0 d'IPCop, les connexions HTTP au port 81 sontautomatiquement redirigées sur le port 445 en HTTPS. Au moment de la conception d'IPCop,il y a de cela quelques années, seule une poignée de navigateurs supportait le protocoleHTTPS. Le port 81 était utilisé par tous les autres. La plupart a maintenant disparu ou s'estadaptée. La transmission en clair des mots de passe de votre IPCop étant par nature risqué, ila été décidé d'abandonner les connexions HTTP. Pour les utilisateurs habitués au port 81, lesconnexions sur ce port sont automatiquement redirigées sur HTTPS. Si vous utilisez encoreun navigateur ne supportant pas HTTPS, pensez à le mettre à jour ou à le remplacer.

Modification du numéro de port pour HTTPS

Dans certaines situations, il est nécessaire de changer le numéro de port servant auxconnexions sécurisées. Il s'agit d'éviter un conflit avec le port 445 utilisé par les DirectoryServices (SMB sur TCP/IP) des versions récentes de Windows. Certains FAI bloquentsystématiquement ce port 445 pour raison de sécurité, c'est à dire pour empêcher lapropagation de virus.

Un utilitaire en ligne de commande du nom de setreservedports a été introduit avec la versiond'IPCop 1.4.8. Il permet de modifier le port sécurisé d'écoute de l'interface d'administration.

$ /usr/local/bin/setreservedports 5445

Même si le port numéro 5445 est suggéré dans l'exemple précédent, n'importe quel numérode port entre 445 et 65565 convient tout aussi bien. S'il vous arrivait d'oublier le numéro dece port, vous pouvez toujours utiliser le protocole non sécurisé HTTP et le port 81 : votrerequête est alors automatiquement redirigée.

La page d'accueil de l'interface d'administration de votre IPCop apparaît dans votre navigateur. Vouspouvez d'ores et déjà explorer les différentes options et les informations disponibles par le biais de cette

https://ipcop:445

https://192.168.10.1:445

http://ipcop:81

http://192.168.10.1:81

Administration et Configuration

6

interface. Vous trouverez ci-dessous la liste des options principales de configuration/administration.Lorsque vous vous sentirez suffisamment à l'aise avec le système, continuez avec les sections suivantesde ce manuel.

Les pages web d'administration d'IPCop sont accessibles par des onglets en haut de l'écran :

• Système : Configuration du système et fonctions associées à IPCop.

• Etat : Présentation détaillée de l'état de plusieurs éléments de votre serveur IPCop.

• Réseau : Configuration/Administration de vos paramètres de connexion.

• Services : Configuration/Administration de nombreux services optionnels de votre serveur IPCop.

• Pare-feu : Configuration/Administration de la fonction pare-feu de votre serveur IPCop.

• RPVs : Configuration/Administration de votre éventuel Réseau Privé Virtuel.

• Journaux : Consultation de tous les journaux d'évènements générés par votre serveur IPCop (pare-feu, sonde de détection d'intrusion, etc).

Cette page d'accueil est une des nombreuses pages qui diffère selon la configuration d'IPCop. Parexemple, si votre connexion est de type Ethernet par l'interface ROUGE, la page d'accueil n'affichepas de nom de connexion.

Figure 2.2. Page d'accueil, connexion de type Ethernet

En revanche, si votre connexion à l'Internet est de type PPP et en admettant que la configuration de laconnexion est correcte, trois boutons viennent compléter l'affichage précédent.

Figure 2.3. Page d'accueil, connexion par modem


7

Note

Aucune connexion n'est affichée tant que vous n'avez pas fini de paramétrer votre serveurIPCop.

Le nom de domaine pleinement qualifié de la machine IPCop apparaît dans le coin supérieur gauchede la zone d'informations de connexion.

Boutons de gestion de la connexion

• Connexion - Lance une tentative de connexion à l'Internet.

• Déconnexion - Termine une connexion à l'Internet.

• Rafraîchir - Réactualise les informations données par la page d'accueil.

En plus des boutons décrits ci-dessus, le nom du « Profil actuel » utilisé pour la connexion est affiché.Il est suivi d'une ligne donnant l'état actuel de la connexion. Ces états sont les suivants :

• Inactif - Pas de connexion à l'Internet et aucune tentative en cours.

• Connexion en cours... - Tentative de connexion à l'Internet en cours.

• Connecté - Actuellement connecté à l'Internet.

Si une connexion à l'Internet est en cours, l'état est complété par un message utilisant le motif suivant :

• Connecté ( #d #h #m #s)

• d=nombre de jours de connexion

• h=nombre d'heures de connexion

• m=nombre de minutes de connexion

• s=nombre de secondes de connexion

Au dessous de ce bloc d'information sur le profil courant et l'état de la connexion se trouve une lignedu genre :

7:07pm up 1 day, 7:21, 0 users, load average: 0.03, 0.01, 0.00

Cette ligne représente la sortie de la commande Linux uptime. Elle affiche l'heure courante, le nombrede jours/heures/minutes depuis le dernier redémarrage et le nombre d'utilisateurs connectés sur leserveur IPCop. Les derniers nombres représentent la charge moyenne de la machine. Enfin, cette pagepeut vous informer sur la disponibilité de mises à jour pour votre IPCop.

IPCop dispose de deux utilisteurs web en plus de l'utilisateur root sur la console. Le premier se nommeadmin. Grâce à cet identifiant, vous avez accès à tous les écrans de l'interface d'administration. L'autreidentifiant, nommé dial, n'est autorisé qu'à utiliser les boutons Connexion et Déconnexion. Par défaut,l'utilisateur dial est désactivé ; pour l'activer vous devez lui assigner un mot passe. La consultation desécrans d'accueil et d'information ne nécessitent pas d'authentification. Pour tous les autres, le mot depasse de l'utilisateur admin est requis.

Pages de l'onglet SystèmeCet ensemble de pages est conçu pour vous aider à administrer et contrôler votre serveur IPCop. Poury accéder, sélectionnez l'onglet Système dans la partie supérieure de l'écran. Vous avez alors le choixentre :

• Accueil — pour retourner à la page d'accueil ;


8

• Mises à jour — pour rechercher et appliquer des correctifs à votre IPCop ;

• Mots de passe — pour changer le mot de passe de l'utilisateur admin, et éventuellement en assignerun à l'utilisateur dial ;

• Accès SSH — pour activer et configurer l'accès sécurisé à votre IPCop par SSH ;

• Interface Graphique — pour activer ou désactiver l'utilisation de Javascript par l'interfaced'administration et en changer le langage ;

• Sauvegarde — pour sauvegarder les paramètres de configuration de votre IPCop, soit dans unfichier, soit sur une disquette. Ces paramètres peuvent aussi être restaurés depuis cette page ;

• Arrêter — pour arrêter ou redémarrer votre IPCop ;

• Crédits — pour afficher la liste des nombreux volontaires et autres projets qui font d'IPCop ce qu'ilest.

Page Mises à jourCet page se décompose en deux parties :

1. Le premier encadré présente les correctifs disponibles et propose les liens permettant de lestélécharger et de les appliquer. Il vous offre aussi la possibilité de sélectionner un type de noyauet libérer ainsi de l'espace disque.

2. Le second encadré donne la liste des correctifs déjà installés.

IPCop vérifie automatiquement la disponibilité de correctifs lors de chacune de vos connexions àl'Internet. Vous pouvez également lancer manuellement cette vérification en cliquant sur le boutonActualiser la liste des mises à jour. Pour chaque mise à jour disponible, une courte description et unlien pour son téléchargement sont insérés dans ce cadre.


9

En cliquant sur le bouton Télécharger, vous récupérez un fichier d'extension .tgz.gpg directementsur votre machine IPcop (ceci ne fonctionne pas correctement sur la version IPCop 1.4.20 à cause d'unbug, vous devez donc installer manuellement la mise à jour vers la version 1.4.21).

La mise à jour manuelle vous impose de télécharger le fichier .tgz.gpg sur votre poste client, etnon sur la machine IPCop comme précédemment, à l'aide d'un navigateur Web. Ceci fait, au niveau duchamp Transférer le fichier de mise à jour, utilisez le bouton Parcourir pour sélectionner le fichier survotre machine cliente. Puis cliquez sur le bouton Chargement pour transférer le fichier vers la machineIPCop et appliquer le correctif.

L'espace disque de la partition « /boot » étant limité, les mises à jour relatives au noyau doivent parfoisêtre scindées en deux.

Pour augmenter cet espace disque, une option a été introduite permettant de sélectionner et de neconserver qu'un type de noyau parmi les deux installés par défaut - un pour système mono-processeuret un pour système multi-processeurs type SMP.

Après l'installation d'IPCop version 1.4.17, utilisez le bouton Actualiser la liste des mises à jour pourprofiter de la nouvelle page de mises à jour. Dans la section Utilisation du disque, une case de couleurrouge indique un niveau d'espace disque libre insuffisant. Pour en libérer plus, vous devez sélectionnerle type de noyau adapté à votre machine en cliquant sur le bouton Sélection du type de noyau. Ceci apour effet de créer de l'espace sur les partitions /dev/root et /boot. Au redémarrage suivant, ilest possible que vous deviez indiquer au lanceur grub le noyau à utiliser si celui-ci ne se trouve pasen première ligne du menu présenté.

Les seuils d'avertissement d'un remplissage excessif d'une partition (conduisant à une case de couleurrouge) sont de 20 Mo libres sur la partition /dev/root et 1 Mo libre sur la partition /boot. Lepartitionnement automatique des disques SCSI ne permet le maintien que de deux versions de noyau(2.4.31 et 2.4.34) et deux types de noyau avant la saturation de la partition /boot. Sa taille a étéamenée de 8 à 10 Mo avec la version 1.4.18 d'IPCop.

Le nettoyage du cache du serveur mandataire web (squid) peut également permettre la libérationd'espace disque sur la partition /var/log. Ce nettoyage se fait par un clic sur le bouton Vider lecache.

Note

Seules les mises à jour IPCop officielles peuvent être installées sur votre serveur IPCop.Certaines nécessitent un redémarrage manuel de la machine, lisez donc très attentivement latotalité de la description de chacune avant de les appliquer.


10

Résolution des problèmes de mises à jour

Si vous obtenez le message d'erreur « Ceci n'est pas une mise à jour autorisée. », vérifiezque l'horloge de votre machine IPCop ne retarde pas : ce décalage laisse penser à gpg que lecorrectif a été signé dans le futur, déclenchant alors une erreur.

Pour confirmer ce problème, consultez les messages enregistrés dans le fichier dejournalisation /var/log/httpd/error_log.

IPCop étant fréquemment installé sur des matériels un peu anciens, il n'est pas rare quel'horloge du système soit inexacte à cause d'une défaillance de sa batterie.

Page Mots de passe

La page Mots de passe vous permet de changer les mots de passe des utilisateurs admin et dial si vousle jugez nécessaire. Tapez deux fois le nouveau mot de passe pour l'utilisateur concerné et cliquezsur le bouton Enregistrer.

L'utilisateur dial est activé par l'assignation d'un mot de passe à son identifiant. Cet utilisateurparticulier est autorisé à se servir des boutons de la page Accueil de l'interface d'administrationd'IPCop. Il ne peut en revanche ni modifier, ni consulter les autres pages. Servez-vous de cet utilisateursi vous possédez une connexion de type modem et que vous souhaitez autoriser vos utilisateurs à initierles connexions à l'Internet sans posséder pour autant les droits de l'utilisateur admin.

Page Accès SSH

Cette page vous permet d'autoriser ou d'interdire l'accès distant à votre machine IPCop par SSH. Encochant la première des cases, vous rendez possible l'accès distant par SSH. Plusieurs autres optionssont à votre disposition. L'accès SSH est désactivé par défaut et nous vous recommandons de nel'activer que lorsque vous en avez besoin et de le désactiver par la suite.


11

Figure 2.4. Accès SSH et clés d'hôte SSH

Tout comme le HTTP et le HTTPS de votre machine IPCop utilisent respectivement les ports non-standard 81 et 445, le port attaché à SSH pour IPCop est le 222. Si vous vous servez d'une applicationgraphique pour l'accès à votre machine IPCop, pensez à spécifier le port 222 dans les options deconnexion. Si vous utilisez les commandes ssh, scp ou sftp et ce bien qu'elles soient proches, lasyntaxe pour indiquer le port est différente. En admettant que votre machine IPCop possède l'adresseIP 192.168.254.1, les commandes s'écrivent :

SSH$ ssh -p 222 [email protected]

SCP$ scp -P 222 some/file [email protected]:

SFTP$ sftp -o port=222 [email protected]

Reportez-vous aux pages de manuel sur votre machine cliente pour une explication complète de cescommandes.

SSH

Depuis cette page, les options SSH suivantes sont disponibles :

Accès SSH En cochant cette case, vous activez SSH. À moins de mettreen place un accès externe, le servive n'est utilisable que depuisle réseau VERT. Lorsque SSH est activé, toute personne ayantconnaissance du mot de passe root d'IPCop peut s'introduire survotre pare-feu et y obtenir une ligne de commande.

Support du protocole SSH version1 (requis uniquement pour lesclients anciens)

En cochant cette case, les connexions de clients SSHversion 1 sont autorisées. L'activation de cette fonctionnalitéest fortement déconseillée. Il existe plusieurs vulnérabilitésconnues avec SSH version 1. Son utilisation doit se limiter àun accès temporaire et seulement si vous disposez de clientsversion 1 sans possibilité de mise à jour en version 2. La plupartdes clients SSH, pour ne pas dire tous, supporte la version 2.Aussi pensez à mettre à jour vos clients.


12

Autorise le transfert TCP Le fait de cocher cette case vous permet de créer des tunnelsSSH chiffrés entre des machines protégées par le pare-feu etdes utilisateurs extérieurs.

Pourquoi utiliser cela alors qu'IPCop propose déjà un VPN ?

Imaginez. Vous êtes sur la route et quelque chose va mal sur l'unde vos serveurs. Vous n'avez pas mis en place une connexionVPN nomade. Si vous connaissez le mot de passe de votreIPCop vous pouvez utiliser le transfert de port pour traverservotre pare-feu IPCop et accèder au serveur en question qui setrouve sur l'un des réseaux protégés. Les paragraphes suivantsexpliquent comment faire cela en admettant qu'un serveurtelnet tourne sur la machine interne d'adresse IP 10.0.0.20.L'hypothèse d'un système Linux comme machine distante estégalement faite. La commande putty sous Windows proposeles mêmes fonctionnalités mais vous y accédez par des boîtesde dialogue. Il est probable que vous ayez déjà effectué l'unedes premières étapes.

1. activez ou faites activer l'accès externe par le port 445, leport de HTTPS ;

2. utilisez les pages d'administration d'IPCop pour autoriserl'accès SSH, le transfert TCP et l'accès externe par le port222 ;

3. créez un tunnel SSH entre la machine nomade et la machineinterne tournant un démon SSH par la commande :

$ ssh -p 222 -N -f -L 12345:10.0.0.20:23 root@ipcop

-p 222 IPCop écoute lesrequêtes SSH sur leport 222, pas le portstandard 22.

-N Cette option,conjointement à -f,demande à SSH dese placer en tâchede fond sans seterminer. Si vousutilisez cette option,vous devrez vousrappeler de tuer leprocessus SSH pourle terminer. Vouspouvez aussi ajoutersleep 100 àla fin de la lignede commande etsupprimer l'option -N. Dans ce derniercas, le SSH invoquépar la commande sshse terminera après


13

100 secondes sansque ni la sessiontelnet, ni le tunnel nese ferment.

-f Cette option permetde lancer SSH entâche de fond.

-L Ceci indique à SSHde monter un tunnelen transfert de portdont les paramètressont donnés à lasuite.

12345 Il s'agit du portlocal à utiliser pourle tunnel vers leservice distant. Ildoit être supérieur à1024 sans quoi vousdevrez être root pourl'utiliser.

10.0.0.20 Ceci est l'adresseVERTE du serveurdistant.

23 Il s'agit du portdistant à utiliser.Cette valeur deport correspond auservice telnet.

[email protected] Et pour finir, ceparamètre indiqueque vous allezutiliser votre pare-feu IPCop commeagent de transfertde port. Vousdevez disposer d'unidentifiant pour vouslogguer et seull'identifiant rootest disponible surIPCop. Le mot depasse correspondantà cet utilisateur voussera demandé.

4. Enfin, identifiez-vous auprès du service telnet distant enutilisant le tunnel.

$ telnet localhost 12345


14

localhost est le nom de la machine que vous utilisez.L'adresse loopback 127.0.0.1 correspond à localhost. 12345est le port local du tunnel spécifié lors de sa création.

Un tutoriel (en anglais) sur le transfert de port pour SSHest disponible chez Dev Shed [http://www.devshed.com/c/a/Administration/Secure-Tunnelling-with-SSH/].

Permettre l'authentification parmot de passe

Cette option permet d'autoriser les utilisateurs à s'identifier surle serveur IPCop en utilisant le mot de passe root. Si vousdécidez de ne pas autoriser cela, commencez par configurervos fichiers de clefs SSH et vérifiez attentivement que vousparvenez à vous identifiez avec ces clefs.

Permettre l'authentification par clefpublique

En cochant cette case, SSH peut utiliser l'authentificationpar clef publique. Il s'agit de la méthode recommandéepour sécuriser votre IPCop vis-à-vis de l'accès SSH.Cet article (en anglais) [http://open.itworld.com/4917/LWD010410sshtips/page_1.html] discute de l'utilisation deSSH-keygen pour générer des clefs RSA et de la façon de lesutiliser.

Clés d'hôtes SSH

Cet encadré liste les empreintes des clefs d'hôtes utilisées par le SSH d'IPCop. Elles permettent devérifier que la session est bien ouverte depuis la bonne machine. À la première ouverture de sessiondepuis une machine, l'une des ces empreintes est affichée par SSH. Il vous appartient alors de vérifierque l'empreinte affichée par SSH correspond bien à l'une des clefs affichées ici.

Page Interface Graphique

Cette page permet de contrôler le fonctionnement et l'apparence des pages d'administration d'IPCop.

Après chaque modification il est nécessaire de presser le bouton Enregistrer.

Pour réinitialiser la configuration de l'interface graphique dans son état d'origine, utilisez le boutonRestaurer les paramètres par défaut puis pressez le bouton Enregistrer.

Figure 2.5. Configuration de l'interface graphique

http://www.devshed.com/c/a/Administration/Secure-Tunnelling-with-SSH/



http://open.itworld.com/4917/LWD010410sshtips/page_1.html




15

Affichage

Autoriser le javascript . Les pages Web d'administration de la version 1.4.0 utilisentlargement Javascript pour en améliorer l'apparence et l'ergonomie. Cependant, certains navigateursne fonctionnent pas toujours correctement avec Javascript. Si cette case n'est pas cochée, les menusdéroulants de l'interface sont désactivés et les éléments qu'ils contiennent normalement sont placéshorizontalement en haut de chaque page.

Afficher le nom de la machine dans la barre de titre . En cochant cette case, le nom d'hôtede la machine IPCop est affiché en haut de chaque page. Si vous êtes chargé de la maintenance deplusieurs machines IPCop, cela vous permet à tout moment d'identifier la machine dont l'interfaces'affiche dans le navigateur.

Rafraîchissement automatique de la page d'accueil . Par défaut la page d'accueil est mise à jourlorsque IPCop se connecte à l'Internet. Un clic sur le bouton Rafraîchir recharge cette page avec ladurée de connexion mise à jour.

En activant cette option, la page d'accueil est automatiquement rafraîchie toutes les 30 secondes desorte que la durée de connexion affichée est régulièrement mise à jour. De même si la connexion estinactive, le message « En attente de connexion à la demande » apparaît.

Choisissez la langue que vous souhaitez voir IPCop utiliser . Cette liste déroulante vous permetde spécifier, parmi les 34 langues disponibles, la langue utilisée par les pages d'administration d'IPCop.

Vous avez aussi la possibilité de sélectionner cette langue durant l'installation. Cependant, il peutne pas être disponible à l'installation. L'équipe de traduction d'IPCop espère en ajouter de nouveauxgrâce à l'appui de volontaires. L'ajout d'une nouvelle langue se fait lors d'une mise à jour classiquedu système.

Évidemment, vous pouvez vouloir traduire par vous-même IPCop dans une autre langue. Pour ce faire,nous vous serions gré de commencer par contacter le Coordinateur des Traductions d'IPCop, EricOberlander à l'adresse e-mail <[email protected]>. Il se peut qu'unetraduction soit déjà en cours pour cette langue. Reportez-vous au document IPCop How To Translate(en anglais) [http://www.ipcop.org/index.php?module=pnWikka&tag=HowToTranslate] pour de plusamples informations.

Bips d'avertissement

Bips de connexion/déconnexion . Par défaut, votre machine IPCop émet un signal sonore lorsd'une connexion et le même signal doublé lors d'une déconnexion.

Pour un fonctionnement silencieux, décochez cette case.

Cette option ne concerne pas les mélodies de démarrage et d'arrêt de la machine.

Page Sauvegarde

Version 1.4.11

La page Sauvegarde a subi une refonte complète. Parmi les changements introduits se trouvent :

• la sauvegarde sur clé USB.

• pour des raisons de sécurité, l'abandon des sauvegardes non chiffrées.

• l'exportation de la clé de sauvegarde backup.key.

La clé est protégée à l'aide du mot de passe de l'utilisateur « backup » pour la réinstallation et lefichier de clé inclut désormais le nom d'hôte.

• l'ajout du nom d'hôte et de la date de sauvegarde dans le fichier backup.dat.

http://www.ipcop.org/index.php?module=pnWikka&tag=HowToTranslate




16

Avant de réinstaller, effacez cette date du nom du fichier de sauvegarde à utiliser.

Un champ vous permet d'ajouter un commentaire à chaque sauvegarde. Ce commentaire serarestauré au chargement de la sauvegarde.

• l'amélioration de la sauvegarde sur disquette.

La taille réelle de la sauvegarde est indiquée. De même le processus vérifie que la taille de lasauvegarde ne dépasse pas la capacité du support. Enfin il affiche les erreurs rencontrées parmilesquelles l'absence de disquette dans le lecteur ou une disquette défectueuse.

Sauvegarde de la configuration sur disquette

La partie haute de cet encadré de la page Sauvegarde vous permet d'effectuer une sauvegarde de votreconfiguration sur disquette. La seule façon de restaurer une telle configuration consiste à réinstallervotre IPCop depuis un CD-ROM ou depuis un serveur HTTP/FTP. Vous aurez très tôt dans leprocessus d'installation la possibilité de fournir cette disquette. Les paramètres de configuration serontrécupérés et l'installation se terminera.

Insérez une disquette dans le lecteur de la machine IPCop et cliquez sur le bouton Sauvegarde surdisquette. Les paramètres de la configuration courante sont copiés sur la disquette. Le processuss'assure du bon déroulement de l'écriture.

Information

Tous les messages d'erreur et les différentes informations générées lors de l'opération de création dela sauvegarde sont affichés dans la partie basse de l'encadré.

Sauvegarde dans des fichiers

Le reste de l'encadré vous permet de créer plusieurs jeux de sauvegardes et de sélectionner un supportsur lequel transférer les fichiers ainsi créés. Le support par défaut est le disque dur de la machineIPCop mais d'autres supports amovibles tels que les clés USB sont reconnus.

Pour des raisons de sécurité, les sauvegardes créées à partir de la page Sauvegarde sont chiffrées avecle mot de passe de l'utilisateur « backup ». Saississez ce mot de passe dans le champ Mot de passe de lasauvegarde et cliquez sur le bouton Exporter la clé de sauvegarde pour récupérer la clé de sauvegarde.Cette clé est nécessaire pour installer depuis une clé USB ou encore pour restaurer une configurationsuite à une panne de disque dur.

Pendant la procédure d'installation d'IPCop, elle vous est demandée pour restaurer une configurationdepuis une sauvegarde.

Mot de passe de la sauvegarde

Vous devez indiquer dans ce nouveau champ le mot de passe de l'utilisateur « backup ». Avecune installation récente, vous avez déjà spécifié ce mot de passe. En revanche si l'installationest plus ancienne et progressivement mise à jour, vous devrez relancer le programme setuppour initialiser ce mot de passe.

Pour ce faire, ouvrez une session super utilisateur sur votre machine IPCop soit directementdepuis la console, soit par le réseau en SSH sur le port 222.

Lancez le programme de configuration en tapant setup sur la ligne de commande.Sélectionnez Mot de passe 'backup' dans la liste et tapez le nouveau mot de passe. Celui-cidoit comporter au minimum 6 caractères. Quittez le programme et terminez la session.

Récupérer la clé de sauvegarde

Pour obtenir la clé de sauvegarde :


17

1. Initialisez le mot de passe de l'utilisateur « backup ».

2. Saisissez ce mot de passe dans le champ Mot de passe de la sauvegarde de la page Sauvegarde.En cliquant sur le bouton Exporter la clé de sauvegarde, la clé est exportée dans un fichier dontvous avez à choisir l'emplacement où l'enregistrer.

3. Créez et exportez le fichier d'extension .dat (il n'est pas nécessaire d'entrer le mot de passe« backup » pour cela).

Vous avez maintenant en votre possession tout le nécessaire pour installer et paramétrer àl'identique un nouveau système à partir d'une clé USB ou d'un serveur HTTP/FTP.

4. Transférez le fichier d'extension .dat, après avoir supprimer l'horodatage dans son nom, ainsique le fichier de clé sur le support d'installation (clé USB ou serveur HTTP/FTP). La restaurationde la configuration ainsi sauvegardée est automatique à l'installation à condition de fournir le motde passe « backup » et le nom d'hôte correspondant aux données chiffrées dans le fichier .dat.

Page ArrêterCette page permet soit d'Arrêter soit de Redémarrer le serveur IPCop. Cliquez sur le boutoncorrespondant à l'action souhaitée et voilà. Il est aussi possible de planifier un redémarrage ou un arrêtà une certaine heure par la mise en place d'un « cronjob ».

Figure 2.7. Arrêt et planification des redémarrages

Arrêt

Utilisez l'un des boutons Redémarrer ou Arrêter pour immédiatement redémarrer ou arrêter votreserveur IPCop.

Programmation des redémarrages d'IPCop

La possibilité de programmer les arrêts et redémarrages a été introduite avec la version 1.4.10. Un« cronjob » est ajouté au crontab de l'utilisateur root. Pour un redémarrage régulier une fois parjour, sélectionnez l'heure depuis le menu déroulant et cochez le ou les jours de semaine souhaités.Sélectionnez ensuite l'action souhaitée (Redémarrer ou Arrêter) avant de presser le bouton Enregistrer.

Enfin pour supprimer un redémarrage ou un arrêt programmé, décochez toutes les cases et pressezle bouton Enregistrer.


18

Pages de l'onglet ÉtatCet ensemble de pages vous donne des informations et des statistiques quant au fonctionnement devotre serveur IPCop. Pour y accéder, sélectionnez l'onglet État dans la partie supérieure de l'écran.Les pages suivantes sont disponibles :

• État du système

• État du réseau

• Graphiques système

• Courbes de trafic

• Graphes du proxy

• Connexions

Page État du systèmeCette page rassemble un certain nombre de données utiles à l'évalutation de l'état actuel de votreserveur IPCop au travers des encadrés suivants :.

Services

Services - Affiche les services actuellement en fonctionnement.

Mémoire

Mémoire - Renseigne sur le niveau d'utilisation de la mémoire et de la partition d'échange (swap) devotre serveur IPCop.


19

Utilisation du disque

Utilisation du disque - Informe de l'organisation en partitions du disque dur de votre machine IPCopet du niveau de remplissage de chacune.

Durée de fonctionnement et utilisateurs

Durée de fonctionnement et utilisateurs - Affiche la sortie de la commande uptime et liste lesutilisateurs actuellement connectés à votre IPCop.

Modules chargés

Modules chargés - Donne une liste des modules chargés et en cours d'utilisation par le noyau GNU/Linux.

Version du noyau

Version du noyau - Informe sur le noyau IPCop lui même.


20

Page État du réseau

En cours de rédaction...

Interfaces

Cet encadré affiche des informations sur toutes les interfaces réseau de votre machine IPCop. Ycompris les interfaces de type PPP, IPSec, Loopback, etc.

Contenu en cours de vérification...

Baux DHCP en cours

Si le service DHCP est actif, cet ancadré reprend le contenu du fichier /var/state/dhcp/dhcpd.leases. Tous les baux actifs concédés par le serveur DHCP d'IPCop sont listés. Pour chaqueentrée, la date d'expiration du bail est affichée de même que le nom de la machine si ce dernier estconnu.

Les baux ayant expirés sont rayées.


21

Note

Cette page n'est visible que si le service DHCP a été activé. Voyez la section sur le serveurDHCP pour plus de détails.

Entrées de la table de routage


Entrées dans la table ARP


Page Graphiques système

En cliquant sur l'un des quatre graphiques (utilisation CPU, mémoire, swap et accès disque) de cettepage, vous avez la possibilité de visualiser le relevé de la grandeur sur l'espace d'un jour, une semaine,un mois et une année.


22

Page Courbes de trafic

Cette page affiche un relevé des trafics traversant votre serveur IPCop.

Une courbe est disponible pour chaque interface réseau de votre IPCop (VERT, ROUGE, BLEU,ORANGE). Elle représente le relevé du trafic entrant et sortant pour cette interface.

En cliquant sur une courbe, vous obtenez une nouvelle page présentant le même relevé mais surl'espace d'un jour, d'une semaine, d'un mois et d'une année.

Note

Lors du développement de la version 1.4.0, il a été mis en évidence que l'outil rrdtool,utilisé pour créer les graphiques, n'était pas capable de gérer les caractères spéciaux ce quis'avère être gênant pour les langages dépendant du jeu de caractères UTF-8. C'est pourquoi,en attendant de trouver une solution, les textes sur les graphiques ne sont pas traduits.

Les courbes de trafic ne s'affichent pas

Ces courbes sont générées par un script lancé toutes les cinq minutes grâce à une tâche cron.Si elles ne s'affichent pas, vérifiez que l'heure de la machine est correcte et recherchez dansla section cron des journaux systèmes les traces du fonctionnement du script. Si vous n'entrouvez pas, essayez de relancer le programme fcron en ouvrant une session super utilisateuret en exécutant la commande « fcrontab -z ».

Ou bien encore lancez manuellement le script makegraphs pour voir si il ne génère pas demessage d'erreur. Pour cela, ouvrez une session super utilisateur et exécutez « makegraphs »depuis la ligne de commande.

Les fichiers RRD (Round Robin Database) peuvent signaler un problème d'horodatage sil'horloge interne de votre machine IPCop a fait un saut important, en particulier s'il s'agit d'unretour dans le passé. Dans un tel cas, il peut être nécessaire de supprimer ces fichiers qui setrouvent dans le répertoire /var/log/rrd. Ils seront regénérés au lancement suivant del'utilitaire makegraphs mais les données antérieures auront été perdues.


23

Page Graphes du proxy

Cette page affiche le trafic via le serveur proxy ou serveur mandataire Web d'IPCop. La premièresection donne la date et l'heure de création du graphique. Suivent le nombre de lignes analysées, ladurée de l'analyse et la vitesse d'analyse (en ligne par seconde). Enfin, les dates et heures de début etde fin du graphique ainsi que le domaine (taille totale du graphique) sont indiqués.

Ce graphique vous permet de contrôler le bon dimensionnement du serveur mandataire au regard dela charge à tenir.

Note

Les journaux d'évènements doivent être activés sur la page d'administration du serveurmandataire sans quoi les graphiques ne seront pas générés.

Connexions

IPCop utilise les fonctionnalités de Netfilter ou d'IPTables pour créer un pare-feu à état (statefulfirewall). Ce type de pare-feu conserve une trace des connexions pour lesquelles des machines des


24

réseaux VERT, BLEU et ORANGE sont en jeu. Il utilise pour cela à la fois les adresses IP sourceet destination des flux, les numéros de ports de même que l'état de la connexion elle-même. Dès lorsqu'une connexion mettant en jeu des machines protégées a été établie, seuls sont autorisés à traverserle pare-feu IPCop les paquets TCP/IP cohérents avec l'état actuel de cette connexion .

L'encadré Suivi des connexions IPTables donne une liste des connexions connues d'IPTables en entréeet en sortie de votre IPCop. Chaque connexion fait l'objet d'une entrée dans cette liste. L'interfaceà laquelle appartient chacune des extrémités est représentée par un code de couleur fonction de sonemplacement sur le réseau La légende de ce codage est rappelée en haut de la page.

En cliquant sur une adresse IP de cette liste, vous lancez une recherche DNS inverse.

Les menus déroulants permettent de filtrer et classer les entrées de cette liste. Le rafraîchissement del'affichage intervient après un clic sur le bouton ! à droite.

Pages de l'onglet RéseauPage Connexion

Cette page se compose de cinq encadrés distincts qui ne vous seront utiles que si vous accédez àl'Internet par un modem analogique, un dispositif RNIS ou une connexion DSL.

Notez que vous ne pouvez pas choisir ou modifier un profil lorsqu'une connexion est active ou encours d'établissement. Avant de vous servir de cette page, vérifiez l'état de connexion de votre IPCopen vous rendant sur la page d'accueil de l'interface d'administration. Si cette page affiche Connectéou En cours de connexion, vous devez commencez par cliquer sur le bouton Déconnexion avant derevenir sur la page précédente. Après avoir paramètré ou sélectionné un profil, retournez sur cette paged'accueil et utilisez le bouton Connexion pour rétablir une connexion à l'Internet.

Profils. Cet encadré vous permet de nommer et ajouter de nouveaux profils de connexion (dans lalimite de cinq), de supprimer un profil ou bien encore de modifier les paramètres d'un profil particulier.

Sélectionnez un profil à créer ou à modifier dans la liste déroulante. Complétez ou modifiez lesparamètres pour ce profil à l'aide des autres encadrés de cette page (voir ci-dessous) avant de cliquersur le bouton Enregistrer. Pour indiquer le profil par défaut, c'est à dire le profil qui sera utilisé lors desfutures connexions à l'Internet, choisissez-le dans la liste déroulante et cliquez le bouton Sélectionneren bas de page. Le bouton Restaurer permet quant à lui de rétablir les paramètres sauvegardés d'unprofil.

Connexion. Cet encadré vous permet de :

1. sélectioner l'Interface appropriée à votre connexion à Internet. Pour un modem analogique ou unecarte ISDN, choississez le port de communication adapté (COM1 - COM4). Pour les connexionsde type DSL, l'interface doit être de type PPPoE.

2. choisir le Débit des données de l'ordinateur au modem. Ce paramètre fixe la vitesse de transfert entrevotre machine IPCop et le périphérique de connexion. Avec des systèmes ou des modems un peuanciens, il peut être nécessaire de spécifier un débit assez faible pour garantir une communicationfiable entre l'ordinateur et le modem.

3. entrer le Numéro de téléphone fourni par votre fournisseur d'accès. Avec une connexion de typePPPoE, ce champ sera vraisemblablement laissé vide.

4. choisir ou non de laisser le Haut-parleur du modem actif. Vous pourrez entendre la négociation dela connexion entre votre machine et votre fournisseur d'accès si vous cochez cette case, ce qui peutvous aider à diagnostiquer un éventuel problème. Cette option n'est utile que si vous posséder uneconnexion à l'Internet par modem analogique.

5. choisir le Mode d'appel. Utilisez l'appel par tonalité sauf si votre ligne téléphonique ne reconnaîtqu'une numérotation par impulsion. Cette dernière est sensiblement plus lente que la numérotationpar tonalité.


25

6. indiquer le Nombre maximum d'essais avant l'abandon de la tentative. Ceci correspond au nombrede fois qu'IPCop essaiera de se connecter à l'Internet après une première tentative restée vaine.

7. spécifier la Durée maximale d'inactivité. Cette valeur permet à IPCop de décider que faire de votreconnexion à l'Internet lorsque rien n'est ni envoyé ni reçu. Dans un tel cas, IPCop attendra cettedurée avant de clore la connexion automatiquement. En fixant ce champ à 0, vous empêchez IPCopde fermer la connexion de lui-même.

8. demander une connexion Persistante pour faire en sorte qu'IPCop maintienne une connexion mêmeen l'absence d'activité sur le lien. Dans ce mode, IPCop essayera de se reconnecter chaque fois quela connexion est coupée, quelle qu'en soit la raison. Soyez prudent avec cette option : si vous payezvotre abonnement au temps de connexion, vous souhaiterez très probablement la laisser inactive.En revanche avec une connexion à temps illimité (souvent appelée "flatrate"), elle vous serviraà maintenir active votre connexion. Notez que même en mode persistant, IPCop cessera toutetentative dès lors que leur nombre atteint la valeur du champ nombre maximum d'essais. Auquel casil est nécessaire d'utiliser le bouton Connexion de la page d'accueil de l'interface d'administration.

9. demander une Connexion sur demande. Après avoir choisi ce mode de connexion vous devezutiliser une dernière fois le bouton Connexion de la page d'accueil de l'interface d'administrationavant qu'IPCop s'en charge pour vous dès lors qu'il détectera une activité. Ce mode n'est pasdisponible pour les connexions de type PPPoE.

10.faire en sorte qu'IPCop établisse une Connexion sur requête DNS c'est à dire lorsqu'il reçoit unereguête de résolution de nom. Il s'agit le plus souvent du comportement espéré par l'utilisateur.

11.permettre à IPCop de lancer automatiquement une connexion après un redémarrage si le modeConnexion à la demande n'a pas été activé. Et même dans le cas contraire, il peut être intéressantd'utiliser cette option. Elle permet en effet, avec l'ensemble des éléments de configuration, de placerle système IPCop dans le mode d'attente d'une connexion à la demande à chaque démarrage ouredémarrage de la machine.

12.faire en sorte que votre modem émette un retour chariot pour signaler à votre FAI une fin detransmission. Si tel est le cas, laissez cochée la case Un retour chariot (CR) est requis par le FAI.Sinon vous pouvez décocher cette case. Par défaut elle est cochée.

Configuration avancée PPPoE - si le mode de connexion est PPPoE ou ADSL USB, vous trouverez,dans cet encadré, des éléments spécifiques de configuration. Parmi ceux-ci deux paramètres, le nom duservice et le nom du concentrateur qui peuvent être nécessaires à votre FAI. Laissez vide ces champssi votre FAI n'en a pas besoin ou s'il ne vous les a pas communiqué. Avec une connexion USB ADSL,votre FAI doit vous transmettre deux valeurs, VPI et VCI, que vous devez entrer dans les champscorrespondants.

Authentification . Les champs Nom d'utilisateur et Mot de passe vous permettent de saisir lesidentifiants fournis par votre fournisseur d'accès lors de l'abonnement. Il existe plusieurs techniquesd'authentification auprès d'un FAI préalable à une connexion. Les plus communes sont les méthodespar PAP et CHAP. Sélectionnez celle que votre FAI utilise. Si il utilise un script de connexion,choississez plutôt script d'identification standard dans la liste. Pour les résidents du Royaume-Uniqui ont pour FAI Demon Internet, un script spécial a été écrit. L'option autre script d'identificationest réservée aux personnes dont le FAI a des besoins particuliers. Si tel est votre cas, vous devrezvous identifier sur la machine IPCop et créer un fichier dans /etc/ppp. Son nom doit être reportédans le champ nom du script. Ce fichier doit contenir des paires sur le format 'attend envoie' avecle caractère de tabulation en séparateur. Dans ce fichier, les chaînes USERNAME et PASSWORD sontremplacées respectivement par le nom d'utilisateur et le mot de passe. Vous pouvez prendre le fichierdemonloginscript du répertoire /etc/ppp en exemple et le modifier pour vos besoins.

DNS . Choisissez Automatique si votre FAI supporte la configuration automatique des serveursDNS, ce qui est fréquemment le cas aujourd'hui. Sinon vous devrez sélectionner Manuel et indiquerles adresses des serveurs DNS primaire et DNS secondaire dans champs à droite. Ces adresses vousont été communiquées par votre FAI.


26

Figure 2.8. Paramétrages PPP

Page Chargement

Vous devez utiliser cette page pour transférer des pilotes matériels ou firmwares sur votre IPCop. Cesfirmwares sont nécessaires au support par IPCop de certains modems.


27

Figure 2.9. Chargement des firmwares des modems

Télécharger Speedtouch USB pilote matériel . Cet encadré vous permet de transférer sur votreIPCop le fichier mgmt.o nécessaire aux modems USB Speedtouch. Le modem ne fonctionnera pastant que cette manipulation n'aura pas été réalisée.

Les modems Speedtouch Revision 4 nécessitent un fichier particulier (ZZZL_3.012) et les modèlesantérieurs un fichier différent (KQD6_3.012 pour les modèles Revision 1 et Revision 2).

Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez le fichier sur votremachine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dans l'arborescence de votremachine. Ceci fait, cliquez le bouton Chargement KQD6_3.012 pour transférer le fichier sur votreIPCop. Vous pouvez alors vous servir de votre modem ADSL USB pour vous connecter à l'Internet.

Télécharger ECI ADSL Synch.bin pilote matériel . Cet encadré vous permet de transférer survotre IPCop le fichier synch.bin nécessaire aux modems ECI ADSL. Le modem ne fonctionnerapas sans ce fichier. Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrezle fichier sur votre machine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dansl'arborescence de votre machine. Ceci fait, cliquez sur le bouton Transférer synch.bin pour transférerle fichier sur votre IPCop. Vous pouvez alors vous servir de votre modem ECI ADSL pour vousconnecter à l'Internet.

Télécharger Fritz!DSL pilote matériel . Cet encadré vous permet de transférer sur votre IPCop lefichier fcdsl.o nécessaire aux modems Fritz!DSL. Le modem ne fonctionnera pas sans ce fichier.Utilisez le lien pour vous rendre sur la page web du pilote, récupérez et enregistrez le fichier sur votremachine cliente. Cliquez sur le bouton Browse... et sélectionnez le fichier dans l'arborescence de votremachine. Ceci fait, cliquez sur le bouton Transférer fcdsl.o pour transférer le fichier sur votre IPCop.Vous pouvez alors vous servir de votre modem Fritz!DSL pour vous connecter à l'Internet.

Page ModemConfiguration du Modem . Cet encadré ne vous est utile que si vous utilisez un modem analogiquepour vous connecter à l'Internet. Les valeurs par défaut de ces champs conviennent pour la plupartdes modems analogiques. Cependant, si vous rencontrez des problèmes de connexion, comparez ces


28

valeurs à celles indiquées dans le manuel utilisateur de votre modem. Aucun de ces champs n'estobligatoire.

Initialisation - Ce champ est pré-rempli avec la chaîne standard d'initialisation des modemscompatibles Hayes. S'il s'avère que votre modem exige un paramétrage particulier, modifiez cettechaîne.

Déconnexion - Ce champ contient par défaut la chaîne standard des modems compatibles Hayesprovoquant la déconnexion. Cependant, si votre modem utilise une autre chaîne, éditez ce champ.

Haut parleur activé - Ce champ contient par défaut la chaîne standard des modems compatibles Hayesprovoquant l'activation du haut-parleur. Si votre modem utilise une autre chaîne, éditez ce champ.

Haut parleur désactivé - Ce champ contient par défaut la chaîne standard des modems compatiblesHayes désactivant le haut-parleur. Si votre modem utilise une autre chaîne, éditez ce champ.

Appel par tonalité - Ce champ contient par défaut la chaîne standard des modems compatibles Hayesde numérotation par tonalité. Si votre modem et votre ligne téléphonique le permettent mais que vousrencontrez des problèmes à la connexion, assurez-vous de la compatibilité de cette chaîne avec votremodem.

Appel par impulsion - Ce champ contient par défaut la chaîne standard des modems compatiblesHayes de numérotation par impulsion. Typiquement, vous n'avez pas à la modifier mais si votre lignetéléphonique ne supporte pas la numérotation par tonalité, assurez-vous de la compatibilité de cettechaîne avec votre modem.

Durée maximale pour l'établissement de la connexion - Il s'agit du seul champ de cet encadré quidoit être renseigné. Sa valeur, exprimée en secondes, indique la durée pendant laquelle IPCop doitmaintenir sa tentative de connexion. Une fois ce délai écoulé, IPCop abandonne cette tentative avantd'en relancer une nouvelle. La valeur par défaut convient dans la plupart des cas. Mais si vousremarquez que la connexion est perdue en plein milieu de la phase de négociation (activez le haut-parleur du modem pour entendre cette négociation), essayez d'augmenter légèrement cette duréejusqu'à ce que la connexion s'établisse sans problème.

Figure 2.10. Paramétrage Modem

Page Configuration alias externes

Note

Cette page n'apparaît que si votre interface ROUGE est configurée en adresse IP fixe.

Dans certains cas, votre FAI peut vous fournir une plage d'adresses IP pour votre réseau.

Si vous avez plusieurs adresses IP , seulement, alors vous pouvez connecter plusieurs stations detravail à Internet, vous n'aurez plus besoin des adresses supplémentaires. IPCop devrait se connecterdirectement à votre modem ou à Internet.


29

D'une autre manière, si vous fournissez un serveur sur l'un de vos ordinateurs internes vous avezbesoin d'utiliser de multiples alias sur votre interface RED. Pour utiliser éfficacement ceci, vous devezmodifier en conséquence la table de routage d'IPCop à la main.

Figure 2.11. Paramétrages des alias externes

Ajouter un nouvel alias. partie en cours de rédaction...

Une fois les champs renseignés, cochez la case Activé avant d'appuyer sur le bouton Ajouter. Lenouvel alias est alors pris en compte et se retrouve ajouté à la liste des alias enregistrés qui est affichéedans l'encadré suivant.

Alias actuels . Cet encadré fournit une liste des alias enregistrés. Pour supprimer l'un d'eux,cliquez sur l'icône représentant une « poubelle » associé à cet alias. Pour éditer, utilisez plutôt l'icônereprésentant un « crayon ».

Pour activer un alias, cochez la case de l'entrée correspondante dans cette liste. L'alias est désactivélorsque la case est vide.

Pages de l'onglet ServicesEn plus de fournir les services de base d'un pare-feu, IPCop propose un certain nombre d'autresfonctionnalités souvent utiles à un petit réseau. Elles sont facilement administrables depuis les pagesaccessibles par l'onglet État, pages décrites par la suite.

IPCop permet ainsi d'ajouter à votre réseau :

• un serveur proxy (serveur mandataire Web)

• un serveur DHCP

• la gestion de DNS dynamique

• la possibilité d'éditer les hôtes (serveur DNS local)

• un serveur de temps

• une fonction de lissage du trafic

• un système de détection d'intrusion (IDS).


30

Pour un réseau plus important, ces services seront probablement fournis par une infrastructure dédiée.Par conséquent il vous faudra désactiver les services équivalents proposés par IPCop.

Page Serveur mandataire (proxy)Un proxy ou serveur mandataire Web est un programme qui effectue les requêtes de pages Web àla place des machines de votre Intranet. Il sauvegarde les pages récupérées, de sorte que si plusieursmachines demandent la même page, un seul accès à Internet est nécessaire. Si votre organisation utilisefréquemment les mêmes sites, il vous permet d'économiser les accès à Internet.

Normalement, vous devez configurer les navigateurs Web des machines de votre réseau pour accéderà l'Internet via le proxy. En lieu et place du couple nom/adresse du proxy, vous devez mettre celuide votre IPCop. Vous devez aussi reporter dans la configuration de vos machines clientes le numérode port indiqué dans le champ Port serveur mandataire de cet encadré. Ce faisant, il reste possible depasser outre le proxy. Mais vous pouvez aussi faire le fonctionner en mode « transparent » : aucuneconfiguration au niveau des navigateurs n'est nécessaire et le pare-feu redirige automatiquement toutle trafic du port 80 - le port HTTP standard - vers le proxy.

Vous pouvez activer ce service pour le réseau VERT (réseau local), et/ou pour votre réseau BLEU(Wifi). Cochez simplement la case correspondante.

Journaux activés. Si vous avez activé le serveur mandataire, vous pouvez choisir d'enregistrer lesaccès Web en cochant la case Journaux activés. Les traces de ces accès peuvent alors être visualiséesen sélectionnant Journaux du serveur mandataire dans l'onglet Journaux.

Si vous décidez d'activer le serveur proxy, les accès Web peuvent être tracés en cochant la caseJournaux activés. Les accès réalisés via le proxy sont alors consultables sur la page Journaux du serveurmandataire accessible depuis l'onglet Journaux.

Si votre Fournisseur d'Accès Internet (FAI) impose l'utilisation de son serveur proxy, spécifiez sonnom et son numéro de port dans les champs relatifs au serveur mandataire distant. Pour les cas oùune identification est nécessaire, vous pouvez indiquez votre nom d'utilisateur et votre mot de passerespectivement dans les champs Nom d'utilisateur du serveur mandataire distant et Mot de passe duserveur mandataire distant.


31

Votre liste extension_methods. Squid ne reconnaît que les méthodes standards de requête HTTP.Les méthodes inconnues sont bloquées à moins d'être présentes dans la liste extension_methods.Vous pouvez indiquer ici pas moins de 20 méthodes supplémentaires.

Par exemple, subversion [http://subversion.tigris.org/] fait usage de méthodes non standardsnormalement bloquées par Squid. Pour permettre à subversion de traverser le serveur mandatairetransparent d'IPCop, vous devez ajouter REPORT, MKACTIVITY, CHECKOUT et MERGE à cette listeextension_methods.

Rejeter le proxying vers les réseaux BLEU/VERT. Check this option to disable proxying togreen and blue networks (if blue is available). This closes a possible hole between Green and Blue ifthey are run in « transparent » mode. 1

ou indiquer une liste de destinations (IP) interdites d'accès par le proxy. Cette option vousassure une plus grande flexibilité en énumérant les réseaux destinations pour lesquels la traversée duproxy doit être refusée. Vous avez la possibilité d'identifier un voire plusieurs réseaux complets enrenseignant une adresse IP et un masque réseau, par exemple : 192.168.3.0/255.255.255.0.

Gestion du Cache. Dans cette section, vous sélectionnez la quantité d'espace disque allouée aucache des pages Web. Vous avez également la possibilité d'indiquer les tailles minimale et maximaledes objets à mettre en cache. La première est en générale égale à 0. La seconde est par défaut fixée à4096ko. Pour des raisons de confidentialité, le proxy ne met pas en cache les pages reçues via httpsou celles nécessitant une authentification par nom d'utilisateur et mot de passe transmis dans l'URL.

Réparer le cache. En cas de nécessité, vous pouvez réparer le cache en cliquant sur le boutonRéparer le cache.

Vider le cache. Il est possible à tout moment de vider le contenu du cache en utilisant le boutonVider le cache.

Limites de transfert. Le proxy Web peut aussi servir à contrôler les accès Web de vos utilisateurs.Le seul élément de contrôle disponible depuis l'interface d'administration est la taille maximumdes données reçues ou envoyées sur le Web. Vous pouvez utiliser ces valeurs pour empêcher vosutilisateurs de télécharger de gros fichiers et ainsi trop consommer de bande passante. La valeur pardéfaut pour ces champs est 0 et signifie qu'il n'y a pas de restriction sur la taille des tranferts.

Enregistrer. Pour sauvegarder les changements de configuration, appuyez sur le boutonEnregistrer.

Avertissement

Le cache du proxy peut occuper beaucoup d'espace sur votre disque. La taille minimale dedisque indiquée dans la documentation d'IPCop ne tient pas compte de l'espace alloué à cecache.

Plus le cache est gros, plus le proxy aura besoin de mémoire pour gérer ce cache. Ainsi sivous avez une machine disposant de peu de mémoire, ne définissez pas un cache proxy tropimportant.

Page Serveur DHCPDHCP (Protocole de configuration dynamique des serveurs) vous permet de contrôler la configurationréseau de toutes vos machines depuis votre serveur IPCop. Dès qu'une machine se connecte àvotre réseau, elle reçoit une adresse IP valide et ses configurations DNS et WINS sont établiesautomatiquement. Pour cela, il faut que chaque machine soit configurée pour interroger un serveurDHCP et obtenir ainsi sa configuration réseau.

1 Quel est l'effet de cette option ? Comment s'explique ce « possible hole » ? Il serait intéressant qu'une personne maîtrisant la configurationdu serveur mandataire avec IPCop se penche sur la traduction de ce paragraphe en particulier mais aussi plus largement de toute la section.Merci de faire part de vos propositions/remarques.

http://subversion.tigris.org/

http://subversion.tigris.org/


32

Vous pouvez activer ce service pour le réseau VERT (réseau local), et/ou pour votre réseau BLEU(Wifi). Cochez simplement la case correspondante.

Pour une explication détaillée sur le DHCP, vous pouvez lire l'article (en anglais) sur Linux Magazine :« Network Nirvana - How to make Network Configuration as easy as DHCP » [http://www.linux-mag.com/2000-04/networknirvana_01.html].

Paramètres du serveur DHCP

Les paramètres DHCP suivants peuvent être configurés depuis la page Web :

Activé. Cochez cette case pour activer le serveur DHCP sur cette interface.

Adresse IP/Masque réseau. L'adresse IP et le masque réseau de l'interface à laquelle cetteconfiguration doit s'appliquer sont rappelés ici pour référence.

Adresse de départ (optionnelle). Vous pouvez spécifier la plage d'adresses IP que le serveurpourra attribuer aux machines qui en font la demande Le comportement par défaut est la gestion del'ensemble des adresses du réseau par le serveur DHCP. Si vous avez des machines sur votre réseauqui n'utilisent pas le DHCP et qui ont des adresses mises à la main, vous devez faire en sorte que laplage d'adresses gérées par DHCP ne rentre pas en conflit avec ces adresses.

Vous devez aussi vous assurer que les adresses associées à des baux fixes (voir plus loin) ne sont pascomprises dans cette plage.

Adresse de fin (optionnelle). Ce champ définit l'adresse de fin de la plage d'adresses discutéeprécédemment.

Note

Pour permettre au serveur DHCP d'attribuer des baux d'adresses fixes mais pas dedynamiques, laissez les deux champs Adresse de départ et Adresse de fin vides. Par contresi vous indiquez une adresse de départ vous devrez indiquer une adresse de fin et vice versa.

http://www.linux-mag.com/2000-04/networknirvana_01.html




33

Base IP utilisée pour création des bail fixes (optionnelle). La possibilité d'ajouter des baux fixesdepuis la liste des baux dynamiques a été introduite avec la version 1.4.12.

Vous pouvez indiquer une adresse IP à utiliser comme adresse de base pour les nouveaux baux fixes.

Durée du bail par défaut. Ce champ peut garder sa valeur par défaut sauf si vous avez besoind'indiquer une autre valeur. Il correspond à la durée pendant laquelle une attribution d'adresse IP estvalide. Avant que son bail n'arrive à terme, une machine en demande le renouvellement en indiquantson adresse actuelle. Si des éléments de configuration DHCP ont été modifiés depuis l'obtention dudernier bail, ils sont propagés à la machine cliente. En règle générale, les baux sont renouvellés parle serveur.

Durée maximale du bail. Vous pouvez laisser la valeur par défaut, sauf si votre configurationnécessite un réglage particulier. Cette valeur correspond à la durée pendant laquelle le serveur DHCPhonore les requêtes de renouvellement des clients pour leur adresse IP courante. Passé ce délai, lesadresses IP des clients sont changées par le serveur. Si la plage d'adresses IP dynamiques a changé,le serveur fournit une adresse IP dans cette nouvelle plage.

Suffixe de nom de domaine (optionnel). Le suffixe ne doit pas commencer par un point. Indiquezdans ce champ le nom du domaine que le serveur DHCP doit transmettre aux clients. Si une recherched'un nom de machine échoue, le client essayera de nouveau en rajoutant ce nom de domaine au nomd'origine. Certains serveurs DHCP de fournisseurs Internet (FAI) ajoutent automatiquement leur nomde domaine par défaut, de sorte qu'il est possible de taper « www » comme adresse de page d'accueildans le navigateur Web. Bien que « www » ne soit pas un nom pleinement qualifié, votre ordinateurrajoutera le nom de domaine fourni par votre FAI (en fait par son serveur DHCP) en suffixe, créantainsi un nom pleinement qualifié (FQDN). Si vous voulez que vos utilisateurs continuent à utiliser lanotation simple « www », reportez dans ce champ le suffixe de domaine de votre FAI.

Autoriser les clients bootp. Cochez cette case pour permettre aux clients BOOTP d'obtenir unbail sur cette interface réseau. Par défaut le serveur DHCP d'IPCop ignore les paquets de requête duBootstrap Protocol (BOOTP).

DNS Primaire. Le service DHCP va indiquer aux machines clientes quel est le serveur DNSprincipal. Comme IPCop inclut un proxy DNS, vous voudrez probablement laisser ce champ à savaleur par défaut : le serveur primaire DNS du réseau est votre serveur IPCop. Si vous possédez votrepropre serveur DNS, vous pouvez indiquer son adresse ici.

DNS Secondaire (optionnel). Vous pouvez aussi founir l'adresse d'un serveur DNS secondaireutilisé en cas d'indisponibilité du serveur primaire. Il peut s'agir d'un autre serveur local ou d'un serveurchez votre FAI.

NTP primaire (optionnel). Si vous faîtes de votre IPCop un serveur NTP ou si vous voulezcommuniquer à chaque client l'adresse d'un autre serveur NTP, indiquez son adresse IP dans ce champ.Le serveur DHCP se charge alors de la transmettre à toutes les machines clientes.

NTP secondaire (optionnel). Si vous avez l'adresse d'un second serveur NTP, indiquez-la ici. Leserveur DHCP se charge alors de la transmettre à toutes les machines clientes.

WINS primaire (optionnel). Si vous possédez un réseau Windows avec un serveur de nomWindows (serveur WINS) primaire, vous pouvez indiquer son adresse IP dans ce champ. Elle est alorscommuniquée par le serveur DHCP à tous les clients lors de l'obtention de leur configuration réseau.

WINS secondaire (optionnel). Si votre réseau dispose d'un serveur WINS secondaire, vous pouvezindique son adresse IP dans ce champ. Elle est alors communiquée par le serveur DHCP à tous lesclients lors de l'obtention de leur configuration réseau.

Les changements deviennent effectifs après l'appui sur le bouton Enregistrer.

Liste des options DHCP

Cet encadré vous permet de spécifier des paramètres additionnels à distribuer au réseau par le serveurDHCP. Cette fonctionnalité a été ajoutée avec la version 1.4.6.


34

Figure 2.12. Options additionnelles DHCP

Les champs de cet encadré permettant l'ajout de paramètres additionnels à la configuration de basedu serveur DHCP sont :

Nom de l'option. Vous indiquez ici le nom de l'option DHCP ici, par exemple : smtp-serverou tcp-keepalive-interval.

Valeur. La valeur à assigner à l'option dont vous venez d'indiquer le nom. Suivant l'option, ilpeut s'agir d'une chaîne de caractères, d'un entier, d'une adresse IP ou d'un drapeau d'activation/désactivation.

Les formats suivants sont disponibles : boolean, integer 8, integer 16, integer 32, signed integer 8,signed integer 16, signed integer 32, unsigned integer 8, unsigned integer 16, unsigned integer 32, ip-address, text, string, array of ip-address.

Par ailleurs la version 1.4.12 a introduit les formats supplémentaires suivant : array of integer 8, arrayof integer 16, array of integer 32, array of signed integer 8, array of signed integer 16, array of signedinteger 32, array of unsigned integer 8, array of unsigned integer 16, array of unsigned integer 32.

Portée de l'option (optionnel). Par défaut une option possède une portée globale. Vous pouvezréduire sa portée effective en cochant une ou plusieurs des cases voisines, auquel cas l'option nes'appliquera qu'aux interfaces dont la case est cochée.

Activé. En cochant cette case vous autorisez le serveur DHCP à prendre en compte l'option. Dansle cas contraire, l'option n'est que sauvegardées dans la configuration d'IPCop sans être répercutéedans celle du serveur DHCP.

Ajouter. Ce bouton permet d'ajouter l'option à la configuration du service.

Syntaxe. Cliquez sur ce bouton pour afficher une liste des options et des valeurs permises.

Note

Par exemple, pour ajouter l'option « ldap-server » (code 95) à la liste, commencez par ajouterune option DHCP de nom ldap-server et de valeur code 95=string (une espaceentre « code » et « 95 », pas d'espace ni avant ni après le signe « = »).

Vous avez ainsi créé une nouvelle option avec pour Nom de l'option ldap-server, pourValeur code 95=string et pour Portée de l'option Définition d'option.

Vous pouvez maintenant ajouter l'option « ldap-server », comme vous l'auriez fait avecn'importe laquelle des options DHCP d'origine, avec le nom : ldap-server et la valeur :"ldap://some.server/dc=foo,dc=bar".

Baux fixes

Si vous possédez des machines que vous souhaitez gérer de manière centraliser tout en leur attribuantune adresse IP fixe, vous pouvez indiquer à votre serveur DHCP de leur assigner une adresse IP


35

constante. Chaque machine est alors identifiée auprès du serveur DHCP par l'adresse MAC de sa carteréseau.

Ceci est différent d'une gestion manuelle de la configuration réseau de la machine puisque cettedernière continue à contacter le serveur DHCP pour obtenir son adresse et tous les paramètres quevous avez renseignés précédemment.

Figure 2.13. Ajout d'un nouveau bail fixe

Ajouter un nouveau bail d'adresse IP fixe. Vous pouvez indiquer les paramètres suivant pourdes adresses IP fixes :

Activé. Cochez cette case pour autoriser le serveur DHCP à concéder ce bail à la machinecorrespondante lorsqu'elle en fait la demande. Les paramètres d'une entrée inactive sont conservés parIPCop mais le serveur DHCP ne répond pas aux demandes.

Adresse MAC (optionnel). les six octets de l'adresse MAC identifiant la machine à configurer.Les octets sont séparés par le signe deux point ':'.

En l'absence d'adresse MAC, le serveur DHCP essaye d'assigner un bail fixe à partir du nom d'hôteou du nom de domaine pleinement qualifié (FQDN) du client.

À l'inverse si elle est spécifiée et si vous indiquez un nom d'hôte dans le champ Hostname or FQDN,le serveur DHCP fournit ce nom de d'hôte au client.

Avertissement

Le format de l'adresse MAC est xx:xx:xx:xx:xx:xx et non xx-xx-xx-xx-xx-xx commecertaines machines l'indiquent. Un exemple correct : 00:e5:b0:00:02:d2.

Il est possible d'assigner plus d'un bail d'adresse IP fixe à une même machine pour autant que lesadresses IP soient sur des sous-réseaux différents. Les adresses dupliquées sont mises en évidence pardes lignes en caractères gras dans le tableau.

Adresse IP. l'adresse IP à donner par le serveur DHCP à la machine identifiée par l'adresse MACci-dessus. Ne pas utiliser une adresse IP de la plage d'adresses dynamiques.

Il est possible d'indiquer une adresse IP n'appartenant pas au réseau local. Dans ce cas l'adresse IPconcernée est affichée dans la table sur fond orange.


36

Hostname or FQDN (optionnel). Le client se verra remettre un nom d'hôte, ou dans le cas d'unnom de domaine pleinement qualifié (FQDN), un nom d'hôte et un nom de domaine si une adresseMAC est aussi fournie. Dans le cas où le champ Adresse MAC est laissé vide, le serveur DHCPessayera d'assigner un bail fixe à partir du nom d'hôte ou du nom de domaine pleinement qualifié duclient en se servant de l'option dhcp-client-identifier.

Remarque (optionnel). une ligne de commentaire libre sur la machine bénéficiaire de l'adresse.

Adresse du routeur IP (optionnel). Pour les baux fixes, le serveur peut fournir au client l'adressed'un routeur (passerelle) qui n'est pas l'adresse de la machine IPCop.

Serveur DNS (optionnel). Le serveur indique au client un serveur DNS différent du ou des serveursDNS configurés dans la section DHCP.

Préciser les options bootp/pxe pour ce bail. Certaines machines de votre réseau peuvent servirde clients dits légers utilisant un fichier de démarrage récupéré depuis un serveur particulier.

next-server (optionnel). l'adresse du serveur à contacter.

filename (optionnel). le nom du fichier de démarrage pour cette machine.

root-path (optionnel). le chemin complet vers le fichier précédent sur le serveur si il n'est pas dansle répertoire par défaut.

Réservations DHCP fixes

Les réservation d'IP fixes gérées par le serveur DHCP sont listées dans la partie inférieure de cetencadré. Ce même encadré permet en outre d'éditer, d'activer/désactiver ou bien encore de supprimerchaque réservation.

Il est possible de trier cette liste des baux fixes en cliquant sur les en-têtes de colonne Adresse MACou Adresse IP. Un second clic sur un même en-tête inverse le critère de classement.

Figure 2.14. Liste des baux fixes

Pour éditer une réservation, cliquez sur son icône représentant un crayon. Ses paramètres se retrouventaffichés dans l'encadré Modifier un bail existant au dessus et l'entrée correspondante dans la liste estsurlignée en jaune. Utilisez le bouton Mise à jour pour enregistrer les éventuelles modifications.

En cliquant sur l'icône représentant une poubelle, vous supprimez la réservation correspondante.


37

Baux dynamiques en cours

Si le serveur DHCP est actif, cette section affiche les détails des baux dynamiques concédés par leserveur qui se trouvent listés dans le fichier /var/state/dhcp/dhcpd.leases. L'adresse IP,l'adresse MAC, le nom de machine (si disponible) et la date d'expiration pour chaque enregistrementsont présentés. Les entrées sont classées par adresse IP.

Il est possible de trier cette liste des baux dynamiques en cliquant sur l'un des quatre en-têtes de colonnesoulignés. Un second clic sur un même en-tête inverse le critère de classement.

Au besoin, il est facile d'effectuer un copier/coller d'une adresse MAC de cet encadré vers celuipermettant de définir un bail d'IP fixe.

Figure 2.15. Baux dynamiques en cours

Depuis la version 1.4.12, il est possible d'ajouter des baux fixes directement depuis la liste des bauxdynamiques. En relation avec le champ Base IP utilisée pour création des bail fixes, vous pouvezcocher une ou plusieurs des cases de la liste avant de cliquer sur le bouton Créer les réservations pourajouter rapidement les machines concernées à la liste de celles bénéficiant d'un bail fixe.

Les baux ayant expirés sont « rayés ».

Messages d'erreur

Une fois le bouton Ajouter cliqué, un message peut apparaître en haut de la page si une erreur a étédétectée lors de l'analyse des paramètres de configuration.

Page DNS Dynamique

Le DNS dynamique (DYNDNS) vous permet de rendre votre serveur accessible par Internet mêmesi vous ne disposez pas d'une adresse IP fixe. Pour ce faire, vous devez enregistrer un sous-domainechez l'un des nombreux fournisseurs de service DYNDNS. Ensuite, dès lors qu'IPCop se connecte àl'Internet et se voit assigner une adresse IP par le FAI, il en informe le service de DYNDNS. Lorsqu'unemachine cliente demande à accéder à votre serveur, la demande de résolution du nom est prise encharge par le serveur DYNDNS qui renvoie votre dernière adresse IP connue. Le client a désormaisla possibilité de contacter directement votre serveur (sous réserve que votre configuration l'autorise).IPCop peut se charger de la mise à jour de vos informations en effectuant automatiquement les misesà jour nécessaires auprès de différents services de DYNDNS.


38

Figure 2.16. Paramètres du DNS dynamique

Ajouter un hôte

Les élements suivants sont demandés lors de l'ajout d'un hôte :

Service. Sélectionnez dans la liste déroulante le nom du fournisseur de service DNS dynamique.Vous devez déjà posséder un compte chez ce fournisseur.

Derrière un serveur mandataire (proxy). Cette case doit être cochée si vous utilisez le serviceno-ip.com et si votre IPCop se trouve derrière un serveur mandataire. Pour tous les autres services,l'état de cette case est ignoré.

Activer les jokers. En activant les jokers, vous faites pointer tous vos sous-domaines vers la mêmeadresse IP que votre nom d'hôte (par exemple, en cochant la case, www.ipcop.dyndns.org pointeravers la même adresse IP que ipcop.dyndns.org). L'état de cette case n'est pas pris en compte par leservice no-ip.com dans la mesure où celui-ci ne permet cette activation que depuis son site web.

Nom d'hôte. Indiquez dans ce champ le nom d'hôte enregistré auprès du fournisseur de DYNDNS.

Domaine. Indiquez dans ce champ le nom de domaine enregistré auprès du fournisseur deDYNDNS.

Nom d'utilisateur. Indiquez dans ce champ le nom d'utilisateur pour l'identification auprès dufournisseur de DYNDNS.

Mot de passe. Indiquez le mot de passe correspondant au nom d'utilisateur précédent.

Activé. IPCop n'enverra pas automatiquement les informations au serveur DYNDNS si cette casen'est pas cochée. Le contenu des champs précédents sera conservé pour vous permettre de réactiver lamise à jour automatique de DYNDNS sans avoir à remplir de nouveau ce formulaire.


39

Hôtes actuels

Cet encadré donne une liste des entrées de DNS dynamique déjà connues.

Pour éditer l'une d'elle, cliquez sur l'icône représentant un crayon en bout de ligne. Les détailsde l'entrée concernée se retrouvent affichés dans le formulaire précédent. Effectuez alors vosmodifications et cliquez sur le bouton Ajouter en fin de formulaire.

Il est possible d'activer ou de désactiver, depuis la liste, sans avoir à les éditer, les options Derrière unserveur mandataire (proxy), Activer les jokers et Activer de chaque entrée.

Forcer la mise à jour

Vous pouvez demander à forcer le rafraîchissement des informations en pressant le bouton Forcerla mise à jour. Pour autant, il est recommandé de ne mettre à jour les informations que lorsde changements d'adresse IP : les fournisseurs de service de DNS dynamique apprécient trèsmoyennement les mises à jour inutiles. Dès lors qu'une entrée a été activée, à chaque changementd'adresse IP de votre IPCop, une demande de mise à jour est automatiquement lancée.

Écran Hôtes statiquesLe serveur mandataire DNS d'IPCop met en cache les informations DNS en provenance de l'Internet.En plus de cela, il vous laisse spécifier des hôtes dont vous souhaitez gérer vous-même les paramètres.Il peut s'agir de machines locales ou bien de machines distantes pour lesquelles vous voulez fixer larésolution des adresses.

Figure 2.17. Écran d'ajout d'un nom d'hôte

Configuration

Les éléments suivants peuvent être renseignés par l'interface web :

Adresse IP de la machine. Indiquez dans ce champ l'adresse IP.


40

Nom d'hôte. Utilisez ce champ pour spécifier le nom d'hôte de la machine.

Nom de domaine (optionnel). Si la machine en question se trouve dans un autre domaine,remplissez ce champ avec le nom de domaine.

Activé. Cochez cette case pour activer l'entrée.

L'entrée est sauvegardée lorsque vous pressez le bouton Ajouter.

Hôtes actuels

Cet encadré présente une liste des entrées DNS locales connues d'IPCop.

Il est possible de trier cette liste en cliquant sur l'un des trois en-têtes de colonne soulignés. Un secondclic sur un même en-tête inverse le critère de classement.

Figure 2.18. Liste des hôtes configurés

Pour activer ou désactiver une entrée, cliquez sur l'icône représentant une case à cocher dans la colonneAction de celle-ci. L'icône change en une case vide lorsque l'entrée est désactivée. Cliquez dessuspour la réactiver.

Pour éditer l'une d'elle, cliquez sur l'icône représentant un crayon en bout de ligne. Les détailsde l'entrée en question se retrouvent affichés dans le formulaire précédent. Effectuez alors vosmodifications et cliquez sur le bouton Mise à jour du formulaire.

Pour supprimer une entrée, cliquez sur l'icône représentant une poubelle en bout de ligne.

Page Serveur de temps

Vous pouvez faire en sorte que votre IPCop récupère automatiquement l'heure et la date depuis unserveur de temps précis accessible par l'Internet. Votre IPCop peut également servir de référence detemps pour les machines de votre réseau.


41

Figure 2.19. Paramétrage du serveur de temps

Pour configurer ce service, assurez-vous que la case Activé est cochée et indiquez le nom complet duserveur de temps à utiliser dans le champ NTP primaire. Vous avez aussi la possibilité de spécifier unserveur NTP alternatif en remplissant de la même façon le champ NTP secondaire.

Pour des raisons d'efficacité, nous vous recommandons de synchroniser votre IPCop avec les serveursde temps éventuellement mis à disposition par votre fournisseur d'accès. Si ce dernier n'en propose pas,voyez le projet www.pool.ntp.org [http://www.pool.ntp.org/] dont l'objet est justement « de permettreà des millions de clients, grâce à un cluster virtuel de serveurs, d'accéder à un service NTP simple etfiable sans charger les gros serveurs de temps populaires ».

Pour un horodatage précis, pensez à indiquer votre pays dans l'adresse du serveur (par exemple0.us.pool.ntp.org) au lieu d'utiliser la zone globale (0.pool.ntp.org) comme expliqué sur leur site.

En janvier 2008, un pool spécifique au projet IPCop a été créé. Il est donc désormais préférabled'utiliser les adresses 0.ipcop.pool.ntp.org, 1.ipcop.pool.ntp.org ou encore 2.ipcop.pool.ntp.org en lieuet place des adresses précédentes.

Pour faire d'IPCop une référence de temps pour les autres machines de vos réseaux, cochez la caseFournir l'heure au réseau local.

Vous pouvez choisir de mettre à jour régulièrement l'heure de votre machine IPCop, chaque heurepar exemple. Cette page vous permet aussi de le faire à la demande en cliquant simplement sur lebouton Mise à jour.

Pour sauvegarder vos choix, utilisez le bouton Enregistrer.

Note

Le service de serveur de temps d'IPCop fait usage de la commande ntpdate pour une mise àjour périodique de l'heure plutôt que du serveur ntpd qui, lui, corrige l'heure de la machine encontinu. De ce fait, il n'est pas obligatoire de laisser connecter votre IPCop en permanence àl'Internet, en risquant toutefois qu'il puisse se désynchroniser et dériver légèrement.

Compenser une dérive systématique de l'horloge de la machineIPCop

S'il s'avère que l'heure de votre machine IPCop est avancée ou reculée d'une duréesignificative lors des resynchronisations avec un autre serveur NTP, vous pouvez spécifierun facteur de correction dans le fichier /etc/ntp/drift pour compenser cette dérive.

http://www.pool.ntp.org/

http://www.pool.ntp.org/


42

La sortie de la commande ntpdate vous permet de déterminer cette valeur. Depuis la pageJournaux système, dans la section NTP, recherchez une ligne du genre :

10:40:00 ntpdate step time server 192.168.1.1 offset 3.371245sec

En divisant l'écart de temps par le temps écoulé depuis la dernière mise à jour et en multipliantpar un million, vous obtenez la valeur (en parties par millions) à placer dans le fichier /etc/ntp/drift.

En reprenant les données du message d'exemple ci-dessus, cela donne :

(3.37 ÷ 86400 × 1000000) = 39.004

où 3,37 est l'écart quotidien et 86400 le nombre de secondes dans un jour.

Changez la valeur dans le fichier de dérive avec la commande suivante (exécutée en tant queroot) :

$ echo 39.004 > /etc/ntp/drift

Figure 2.20. Mise à jour manuelle de l'heure

Si vous ne souhaitez pas utiliser un serveur de temps comme référence, vous pouvez entrer l'heureet la date courantes dans les champs de l'encadré représenté ci-dessus avant de cliquer sur le boutonMise à jour immédiate.

Avertissement

Si vous avancez sensiblement l'heure de la machine, le serveur fcron en charge de l'exécutiondes tâches cron normales peut sembler arrêté alors qu'il attend de rattraper le temps.

Si tel est le cas, essayez la commande fcrontab -z depuis un terminal pour réinitialiser leserveur fcron.

Page Lissage du trafic (shaping)

Le lissage de trafic vous permet d'assigner des priorités aux flux IP traversant votre pare-feu. IPCopfait appel pour cela à WonderShaper. Ce logiciel a été conçu pour minimiser la latence au ping etgarantir que les services interactifs tels que SSH restent fluides même sous forte charge, par exemplependant un gros téléchargement.


43

Figure 2.21. Configuration du lissage de trafic

Nombreux sont les fournisseurs d'accès à caractériser leurs offres par vitesses de transfert plutôt quepar latences. Pour maximiser ces vitesses de transfert, ils configurent leurs équipements pour groupervos flux dans des queues. Lorsque des flux interactifs sont introduits dans ces grandes queues, leurslatences augmentent considérablement puisque les paquets ACK doivent patienter un certain tempsavant de vous arriver. IPCop sait gérer ce phénomène et vous laisse assigner des priorités à vos flux.Pour cela, ils doivent être groupés en trois catégories de priorités différentes : Haute, Moyenne etBasse. Le trafic ping est toujours attaché au groupe de plus haute priorité — pour vous permettre deconnaître la vitesse de votre connexion lors de gros téléchargement.

Pour mettre en place le lissage de trafic par IPCop :

1. servez-vous de quelques sites rapides bien connus pour estimer vos vitesses de transfert montantet de transfert descendant. Remplissez les champs correspondant dans l'encradé Configuration ;

2. activez le lissage de trafic en cochant la case Activé ;

3. identifiez quels services sont utilisés derrière votre pare-feu ;

4. classez ces services en trois groupes de priorités croissantes. Par exemple :

a. le trafic interactif, tel que les sessions SSH (port 22) et les services de voix sur IP (VOIP)ont leur place dans le groupe à priorité élevée.

b. la navigation classique sur le web (port 80) et les flux de communication (streaming audioet vidéo) se placent dans le groupe à priorité moyenne.

c. les trafics de masse, genre échanges de fichiers par P2P, se placent dans le groupe ayantune priorité basse.

5. créez la liste de services et de priorités depuis l'encadré Ajout du service de cette page.

Les services pris en exemple ci-dessus ne servent qu'à montrer le potentiel d'IPCop pour ce qui est dulissage du trafic. Vous serez très vraisemblablement amené à adapter le contenu des groupes puisquela nature des flux dépend de votre utilisation.


44

Page Détection d'intrusion

IPCop intègre un puissant système de détection d'intrusion nommé Snort. Il analyse le contenu despaquets reçus par le pare-feu et recherche les signes d'activités malveillantes.

Snort est un système passif de sondes que l'utilisateur doit gérer. Vous devez surveiller lesfichiers de journaux et interpréter les informations qu'ils présentent. Snort se borne à consigner lesévènements suspects de sorte que si vous recherchez un système actif, vous devrez vous tourner verssnort_inline ou le addon guardian.

Il est également important de prendre en compte l'empreinte mémoire non négligeable de Snort : lesversions récentes nécessitent près de 80 Mo de mémoire par interface. Cette quantité de mémoiredépend en partie du jeu de règles mis en oeuvre et peut être réduite par sélection des règles utilisées.

Figure 2.22. Configuration de la détection d'intrusion

IPCop peut se charger de contrôler les paquets réseau sur les interfaces VERTE, BLEUE, ORANGEet RED. Pour ce faire, cochez les cases correspondantes avant de cliquer sur le bouton Enregistrer.

Mise à jour des règles Snort

L'installation standard d'IPCop fournit un ensemble basique de règles permettant à Snort d'identifierdes activités suspectes. À mesure que de nouvelles attaques apparaîssent, ces règles sont mises à jour.Pour utiliser les règles « Sourcefire VRT Certified », vous devez vous enregistrer sur le site web deSnort [http://www.snort.org/] et ainsi obtenir un « Oink Code ».

Avant votre première tentative de récupération de règles, entrez votre « Oink Code » et cliquez surle bouton Enregistrer.

Cliquez ensuite sur le bouton Actualiser la liste des mises à jour, puis sur le bouton Télécharger denouvelles règles et enfin sur le bouton Appliquer maintenant.

L'heure et la date sont affichées à côté de chaque bouton si l'opération a réussie.

http://www.snort.org/




45

Le dernier bouton Lire le dernier historique d'installation des règles permet de visionner le dernierjournal d'installation des règles.

Pages de l'onglet Pare-feuLes pages regroupées sous l'onglet Pare-feu donnent accès aux fonctions principales de votre IPCop.Elle permettent en effet de contrôler les flux traversant votre pare-feu.

Il s'agit des pages :

• de transferts de ports ;

• d'accès externes pour la configuration d'accès de maintenance de votre IPCop depuis l'extérieur ;

• des accès à la DMZ ;

• des accès au réseau BLEU permettant de connecter un point d'accès sans-fil à IPCop.

• des options du pare-feu.

Quels sont les flux autorisés entre les différentesinterfaces réseau d'IPCop ?

La figure suivante résume le paramètrage par défaut d'IPCop pour ce qui est des flux réseau. Elleprécise également les systèmes permettant d'ouvrir ou de contrôler ces flux.

Figure 2.23. Flux IP


46

Personnalisation par l'utilisateur

Avec la version 1.4 est apparu un fichier destiné aux utilisateurs voulant modifier par eux-mêmes lesrègles du pare-feu. Il s'agit du fichier /etc/rc.d/rc.firewall.local.

Ce fichier est appelé par un autre fichier, /etc/rc.d/rc.firewall, lors du démarrage d'IPCop.Il est par ailleurs possible de le lancer manuellement avec la ligne de commande suivante :

$ /etc/rc.d/rc.firewall.local {start|stop|reload}

Note

L'option reload a été ajoutée avec la version 1.4.2 puis modifiée avec la version 1.4.6. Ceschangements n'ont cependant pas été inclus dans les mises à jour officielles correspondantes,ceci pour ne pas effacer les éventuelles modifications apportées par l'utilisateur.

Depuis la version 1.3, plusieurs chaînes - au sens IPTables - sont à la disposition de l'utilisateurpour l'adaptation du pare-feu à des besoins particuliers : CUSTOMINPUT, CUSTOMOUTPUT etCUSTOMFORWARD.

Enfin le fichier /etc/rc.d/rc.local, introduit également avec la version 1.3, permet àl'utilisateur de lancer ses propres commandes au démarrage de la machine. Il peut par exemple s'agirde la configuration d'un modem interne.

Aucun de ces fichiers n'est modifié lors des mises à jour officielles. Ils font par ailleurs partie desfichiers inclus dans les sauvegardes de configuration.

Page Transferts de ports

Cette page vous permet de configurer des transferts de ports sur votre IPCop. Cette opération esttotalement facultative, ne tenez pas compte de cette section que si vous avez besoin d'un tel dispositif.

Aperçu du transfert de port

Un pare-feu a pour fonction de stopper les connexions initiées depuis l'extérieur du réseau qu'il protège.Néanmoins, il arrive que cette fonction soit trop stricte. C'est le cas par exemple si vous possédezun serveur Web : toutes les requêtes à ce serveur émanant de l'extérieur se verraient refusées. Seulesles requêtes provenant de vos propres machines (internes) seraient honorées. Ce qui signifie queseuls les utilisateurs du réseau interne pourraient consulter le serveur ce qui n'est évidemment pas lecomportement espéré. En effet, vous voulez la plupart du temps que les personnes extérieures aientelles aussi la possibilité de consulter votre site. C'est là que le transfert de port intervient.

Le transfert de port est le service qui autorise un accès limité au réseau local depuis l'extérieur. Lorsquevous mettez en place un serveur, vous pouvez choisir sur quels ports le mettre en « écoute ». Laprocédure dépend du logiciel. Reportez-vous à la documentation l'accompagnant pour connaître cetteprocédure.

Dès lors que cette configuration des ports est faite, vous êtes prêt à paramètrer votre IPCop. Sur lapage des transferts de ports, le menu déroulant TCP/UDP vous permet de choisir sur quel protocolela règle doit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pas indiqué dansla documentation du serveur, il est fort probable qu'il s'agisse de TCP. Certains serveurs de jeux oude discussion utilisent cependant l'UDP.

Le champ Port source est utilisé pour spécifier le port auquel les personnes extérieures se connecteront.Le plus souvent, ce champ prend pour valeur le numéro du port standard du service (80 pour lesserveurs Web, 20 pour les serveurs ftp, 25 pour des serveurs de courrier, etc.....). Il est possible


47

d'indiquer une plage de ports à transférer plutôt qu'un seul. Pour ce faire, servez-vous du caractère« : » entre deux numéros de port, en commençant par le plus petit numéro.

Le champ Adresse IP de destination représente l'adresse IP interne de votre serveur (votre serveurWeb peut par exemple avoir l'adresse 192.168.0.3).

Le champ Port destination doit être renseigné avec le numéro de port sur lequel le serveur est en écoutesur la machine interne. Il s'agit du numéro de port discuté précédemment lors de la configuration duserveur.

Enfin la liste déroulante Alias IP permet de sélectionner à quelle adresse IP ROUGE cette règledoit s'appliquer. IPCop peut en effet gérer plus d'une adresse IP ROUGE. Si vous n'en avez qu'une,choisissez l'entrée DEFAULT IP.

Transfert de port et accès externe

L'interface de gestion des transferts de ports a été réécrite à l'occasion de la version 1.3.0. Elle estsensiblement différente de celle des versions antérieures. Notez toutefois que les numéros de portsutilisés pour un service particulier n'ont pas changé.

La page des accès externes n'a AUCUNE incidence sur les réseaux VERT et ORANGE. Elle permetseulement d'ouvrir à l'extérieur des ports de votre machine IPCop mais pas vos réseaux VERT ouORANGE.

Comment ouvre-t-on un accès externe alors ? Cette ouverture est combinée au transfert de port. Lapage de configuration des transferts de ports propose un champ nommé Adresse IP source ou réseau(vide pour "Tout") à cet effet.

Si ce champ est laissé vide, le transfert de port est ouvert à TOUTES les adresses de l'Internet.Autrement, vous pouvez l'utiliser pour spécifier une adresse unique ou une adresse de réseau etn'autoriser ainsi l'accès que depuis une machine ou un réseau particulier.

Figure 2.24. Paramétrage des transferts de ports

Vous pouvez avoir plus d'une seule adresse externe - après avoir créé votre le transfert de port, celle-ci apparaîtra dans la liste. Si vous souhaitez ajouter une adresse externe supplémentaire, cliquez surl'icône représentant un « crayon rouge » et un signe « plus » de l'entrée correspondante. Les détails de


48

cette entrée se retrouvent affichés dans le premier encadré pour vous permettre d'entrer une adresseIP externe ou un réseau.

À la validation de ces informations vous verrez apparaître une nouvelle entrée dans l'encadré listantles transferts de port.

Plusieurs autres choses sont à noter :

• le protocole GRE est supporté ;

• le caractère « * » est un joker pour la définition des plages de ports. Par exemple :

• « * » crée une plage couvrant tous les ports ;

• « 85-* » crée une plage allant du port 85 au port 65535 ;

• « *-500 » crée une plage allant du port 1 au port 500.

Les caractères « : » et « - » sont les caractères valides de séparation de ports dans la définition d'uneplage. Notez que le caractère « - » sera changé en « : » même s'il apparaît bien comme « - » à l'écran.

Vous n'avez qu'à entrer le premier port source, le port destination sera rempli pour vousautomatiquement.

Un enregistrement peut être édité en cliquant sur l'icône représentant un « crayon jaune » en bout deligne. Tant que vous ne cliquez pas sur le bouton Mise à jour, aucun changement n'est pris en compte.

Lors de l'édition d'un enregistrement, la ligne correspondante est surlignée en jaune.

Pour supprimer un enregistrement, cliquez sur l'icône qui lui est associée représentant une « poubelle ».

Les plages de ports ne peuvent pas se chevaucher.

Un port individuel ne peut pas être placé en plein milieu d'une plage, par exemple si vous avez déjàconfiguré la plage 2000-3000 et que vous essayez de transférer le port 2500, une erreur sera signalée.Vous ne pouvez pas transférer un même port vers plusieurs machines.

Sur l'adresse principale (DEFAULT IP) certains ports sont réservés à IPCop pour son bonfonctionnement. Il s'agit des ports 67, 68, 81, 222, et 445.

Lors de l'édition d'un transfert de port, une case à cocher nommée Supprimer l'accès externe pourTOUS apparaît. Il s'agit d'une manière simple et rapide d'ouvrir un port à TOUTES les adressesd'Internet pour tester ou pour toute autre raison. Cette fonctionnalité a été ajoutée à la demande d'unutilisateur.

Si vous avez un transfert de port avec de multiples accès externes, quand vous supprimez ces accèsexternes, le port devient ouvert à TOUTES les adresses, prenez-y garde.

Il existe un raccourci permettant d'activer/désactiver un transfert de port ou un accès externe : cochez/décochez la case « Activé » de l'entrée concernée. Lorsqu'une règle est désactivée, la case est décochée.Cliquez alors dessus pour la réactiver. Remarque : lorsque vous désactivez un transfert de port, tousles accès externes associés sont désactivés. De même lorsque vous activez un transfert de port, tousles accès externes associés sont activés.

Page Accès externesCette page vous permet de paramétrer les accès externes pour votre machine IPCop. Cette opérationest totalement facultative, ne tenez compte de cette section que si vous envisagez d'utiliser cettefonctionnalité.


49

Figure 2.25. Configuration des accès externes

Depuis la version 1.3.0, l'accès externe ne sert à contrôler que les seuls accès à votre machine IPCop.Il n'a aucun effet sur les accès aux réseaux VERT, BLEU ou ORANGE. Ceci est désormais géré parle transfert de port décrit précédemment.

Si vous souhaitez administrer votre IPCop à distance, vous devez autoriser l'accès externe au port445, https en TCP. Vous pouvez également autoriser l'accès au port 222, ssh en TCP si l'accès SSHest activé.

Le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle en cours d'éditiondoit s'appliquer. La plupart des serveurs utilise le TCP. Si le protocole n'est pas indiqué dans ladocumentation du serveur, alors il s'agit très probablement de TCP.

Le champ Adresse IP source ou réseau est utilisé pour spécifier l'adresse de la machine à qui l'accèsau pare-feu est autorisé. Ce champ peut être laissé vide, l'accès est alors donné à n'importe quellemachine. Bien que dangereux cela peut s'avérer utile si vous envisagez d'administrer votre machinede n'importe où dans le monde. Pour autant, si vous arrivez à limiter le nombre d'adresses IP depuislesquelles vous voulez pouvoir administrer votre IPCop, vous pouvez les indiquer dans ce champ.

Le champ Port de destination doit être renseigné avec le numéro du port externe auquel ces adressespeuvent se connecter, par exemple 445.

Le menu déroulant Adresse IP de destination permet de sélectionner à quelle adresse IP du réseauROUGE cette règle doit s'appliquer. IPCop peut en effet gérer plus d'une adresse IP ROUGE. Si vousn'en avez qu'une, choisissez l'entrée DEFAULT IP.

Lorsque tous les champs précédents ont été renseignés, cochez la case Activé avant de cliquer sur lebouton Ajouter. La règle est alors enregistrée et activée.

L'encadré Règles actuelles donne une liste de toutes les règles gérées par votre IPCop. Pour supprimerl'une d'elles, cliquez sur l'icône représentant une « poubelle ». Pour en éditer une, cliquez sur l'icônereprésentant un « crayon jaune ».

Pour activer ou désactiver une règle, servez-vous de la case à cocher coorespondante. Lorsqu'elle estdésactivée, la case est décochée. Vous devez cliquer dessus pour la réactiver.

Page Accès à la DMZCette page vous permet de paramétrer les accès au réseau VERT depuis la DMZ. Cette opération esttotalement facultative, ne tenez pas compte de cette section si vous n'envisagez pas d'utiliser un teldispositif.


50

Cette page n'est visible que si vous avez installé et configuré une interface ORANGE ou BLEUE.

Figure 2.26. Paramétrage des accès depuis la DMZ

La DMZ ou zone démilitarisée (réseau ORANGE) est une zone particulière, semi-sécurisée, pointd'échange entre la zone externe (réseau ROUGE) et la zone interne (réseau VERT). La premièrereprésente l'ensemble de l'Internet. Alors que la seconde regroupe vos machines internes. La DMZpermet ainsi de partager l'accès à des serveurs depuis ces deux zones sans pour autant permettre l'accèsdepuis l'Internet à vos machines locales sensibles.

Supposez par exemple que votre entreprise possède un serveur Web. Évidemment, vous souhaitezque vos clients puisseent y accéder. Mais supposez qu'en même temps vous vouliez que ce serveurWeb transmette les commandes des clients à vos employés dont les machines sont naturellement surle réseau VERT. Dans une mise en oeuvre classique de pare-feu, cela ne peut fonctionner puisque lesrequêtes d'accès au réseau VERT sont initiées depuis l'extérieur de ce réseau. De toute évidence, vousne souhaitez pas que vos clients aient un accès direct à vos machines internes du réseau VERT. Alorscomment faire ? Et bien en paramétrant l'accès restreint depuis la DMZ.

Cet accès restreint donne aux machines de la DMZ la possibilité de contacter des machines du réseauVERT sous conditions. Dans la mesure où les serveurs de la zone ORANGE se doivent d'avoir desconditions d'accès depuis la zone ROUGE souples, ils sont plus vulnérables aux attaques externes.En n'autorisant qu'un accès réduit au minimum de ORANGE vers VERT, vous évitez les accès nonautorisés à vos machines sensibles si la sécurité d'un de vos serveurs était compromise.

Le menu déroulant TCP/UDP vous permet de choisir sur quel protocole la règle en cours d'édition doits'appliquer. La plupart des serveurs utilise le protocole TCP. Quelques serveurs de jeu et serveurs dediscussion utilisent l'UDP. Si le protocole n'est pas indiqué dans la documentation du serveur, alors ils'agit très probablement de TCP. Utilisez le même protocole que celui spécifié sur la page de transfertsde ports.

Le menu déroulant Réseau d'origine donne une liste des réseaux sources disponibles sur la machine.

Le champ Adresse IP source doit être renseigné avec l'adresse IP de la machine à qui vous permettezl'accès aux machines internes.

Le menu déroulant Réseau de destination donne une liste des réseaux destinations disponibles sur lamachine.

Le champ Adresse IP de destination doit quant à lui contenir la machine recevant la requête. Cettemachine se trouve sur l'un des réseaux internes de confiance, c'est à dire VERT ou BLEU.

L'entrée Port de destination spécifie le port sur lequel la machine précédente est à l'écoute.


51

Dès lors que toutes les informations ont été saisies, cochez la case Activé avant de cliquer sur le boutonAjouter. La règle est alors enregistrée et activée. Elle apparaît dans le second encadré de cette page.

L'encadré Règles actuelles donne une liste de toutes les règles gérées par votre IPCop. Pour supprimerl'une d'elles, cliquez sur l'icône représentant une « poubelle ». Pour en éditer une, cliquez sur l'icônereprésentant un « crayon jaune ».

Pour activer ou désactiver une règle, servez-vous de la case à cocher correspondante. Lorsqu'elle estdésactivée, la case est décochée. Vous devez cliquez dessus pour la réactiver.

Page Accès BLEU

Cette page vous permet de paramètrer quel point d'accès WiFi du réseau BLEU est autorisé à seconnecter à votre IPCop. Cette opération est totalement facultative, ne tenez compte de cette sectionque si vous envisagez d'utiliser un tel dispositif.

Note

Cette page n'est visible que si vous avez installé et configuré l'interface du réseau BLEU.

Pour mettre en place un réseau BLEU :

1. utilisez une carte Ethernet reconnue pour l'interface BLEUE ;

2. connectez le point d'accès à la carte Ethernet (si plusieurs connecteurs sont présents sur le pointd'accès, utilisez le connecteur RJ45 portant la mention LAN) ;

3. DHCP peut servir à l'adressage dynamique ou statique du réseau BLEU. L'adressage statiquereste cependant recommandé pour des raisons de sécurité des adresses MAC. Reportez-vous à ladescription de la page de configuration du serveur DHCP pour plus d'informations sur la concessionde baux statiques par le serveur.

Si vous ne devez permettre que l'accès à Internet (réseau ROUGE) par http aux machines de votreréseau BLEU, indiquez, sur la page reproduite ci-dessous, soit l'adresse IP ou MAC du routeur sansfil, soit les adresses de vos périphériques sans fil si vous vous servez d'un point d'accès. Vous devezindiquer au minimum une adresse MAC ou une adresse IP, éventuellement les deux, pour chaquepériphérique.

Un point d'accès se comporte comme un répartiteur Ethernet et IPCop prend en charge le serviceDHCP pour les périphériques utilisant ce point d'accès. À l'inverse un routeur sans fil se charge seul dela translation d'adresses (NAT) et de la configuration réseau des clients (DHCP). Il propose en outreses propres éléments de contrôle.

Note

Votre point d'accès doit supporter la transparence DHCP (DHCP passthrough) si vous espérezfaire d'IPCop le serveur DHCP des machines de votre réseau sans fil. Toutes les référencesn'offrent pas cette fonctionnalité en « mode » point d'accès (par exemple Netgear WG614).

Depuis une machine connectée au réseau BLEU, vous pourrez accéder à l'interface Webd'administration d'IPCop mais pas aux machines du réseau VERT sans quelques manipulationssupplémentaires.

Pour autoriser l'accès au réseau VERT depuis le réseau BLEU, vous devez :

1. soit utiliser la page Configuration des accès à la DMZ et mettre en place des règles d'accèsparticulières ;


52

2. soit configurer un VPN pour l'accès de vos postes nomades sur l'interface BLEU.

Figure 2.27. Paramétrage de l'accès BLEU

Dans l'encadré Ajoute un Client Réseau, vous indiquez l'adresse IP ou l'adresse MAC d'un pointd'accès sans-fil ou de n'importe quel périphérique du réseau BLEU que vous voulez relier à Internetpar l'intermédiaire de votre IPCop.

Vous devez renseigner au minimum une adresse MAC ou une adresse IP par périphérique.

Si le service DHCP est activé sur le réseau BLEU et si vous désirez autoriser tout périphérique à seconnecter et profiter du le réseau RED, vous devez ajouter une entrée à cette liste pour chaque adresseIP de la plage d'adresses gérées par DHCP. Laissez le champ d'adresse MAC de chaque entrée vide.

Inversement, si vous souhaitez limiter l'accès aux seuls périphériques connus, ajoutez les adressesMAC de ces périphériques et laissez le champ d'adresse IP vide. Ce faisant vous autorisez lesconnexions des seuls périphériques dont l'adresse MAC est listée ici, indépendamment des baux DHCPqu'ils reçoivent.

Ceci fait, cochez la case Activé et cliquez sur le bouton Ajouter. Les données saisies se retrouventalors affichées dans l'encadré suivant et l'entrée est marquée active.

L'encadré Clients Réseaux sur BLEU propose en effet une liste des périphériques reconnus sur leréseau BLEU. Pour supprimer l'un d'eux, cliquez sur l'icône représentant une « poubelle ». Pour lereparamétrer, cliquez sur l'icône représentant un « crayon jaune ».

Pour activer ou désactiver une entrée, servez-vous de la case à cocher correspondante. Lorsque l'entréeest désactivée, la case est décochée. Vous devez cliquez dessus pour la réactiver.

Si le service DHCP est activé pour le réseau BLEU, cette page propose un encadré supplémentaire :Bails DHCP sur BLEU.

Il vous fournit un moyen rapide d'ajouter des périphériques sans fils à la liste des périphériquesautorisés. Pour cela, cliquez sur l'icône représentant un « crayon bleu » du périphérique en question.


53

Vous pouvez alors éditer l'entrée si nécessaire en cliquant sur l'icône représentant un « crayon jaune »comme précédemment.

Page Options du firewallCette page vous permet de configurer plus finement certains comportements du pare-feu. Vous pouvezsans aucun risque ignorer cette section si vous ne souhaitez pas utiliser cette fonctionnalité.

Figure 2.28. Options du pare-feu

Désactive le ping

• Non - votre IPCop répond aux requêtes ping arrivant sur n'importe laquelle de ses interfaces. Ils'agit du comportement par défaut.

• Seulement ROUGE - votre IPCop ne répond pas aux requêtes ping arrivant sur l'interface ROUGE.

• Toutes les interfaces - votre IPCop ne répond à aucune requête ping qu'il reçoit.

Pour sauvegarder ces modifications, pressez le bouton Enregistrer.

Pages de l'onglet RPVs

Virtual Private Networks (VPNs) ou Réseau PrivéVirtuel (RPV)

IPCop peut facilement établir des VPNs avec d'autres serveurs IPCop. Mais il lui est aussi possibled'interagir avec n'importe quel autre produit VPN supportant IPSec et un chiffrement standard tel que3DES.

Section en cours de rédaction...

Encadré Paramètres généraux

Figure 2.29. Paramètres généraux du VPN



54

Encadré Contrôle et statut de la connexion

Figure 2.30. Encadré de contrôle et de statut : vue initiale


Type de Connexion

Figure 2.31. Sélection du type de connexion VPN


Connexion Serveur-vers-Réseau

Figure 2.32. Saisie d'une connexion VPN Serveur-à-Réseau

Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cette connexion.



55

Connexion de Réseau-à-Réseau

Figure 2.33. Paramètres d'une connexion VPN Réseau-à-Réseau

Nom. Un nom simple (en minuscule uniquement, sans espace) pour identifier cette connexion.

Côté IPCop. Section en cours de rédaction...


Authentification

Figure 2.34. Paramètres pour l'authentification



56

Encadré Autorités de certification

Figure 2.35. Autorités de certification : vue initiale


Pages de l'onglet Journaux

Introduction

Ce menu permet d'accéder à cinq ou six pages suivant votre configuration. Ces pages - Configurationdes journaux, Résumé des journaux, Journaux du serveur mandataire, Journaux du pare-feu, JournauxIDS si ce dernier est actif et Journaux Système - partagent un ensemble de fonctionnalités pour lasélection, l'affichage et l'exportation des événements enregistrés par la machine IPCop. Les listesdéroulantes Mois et Jour de l'encadré Configuration vous permettent d'accéder aux traces des jourset mois précédents. À chaque nouvelle combinaison de ces champs, il est nécessaire de cliquer sur lebouton Mise à jour pour rafraîchir l'affichage. Lors du premier affichage d'une page, les informationsprésentées correspondent au relevé de la journée en cours.

Le bouton << vous permet de revenir en arrière d'une journée alors que le bouton >> vous permetd'avancer au relevé du jour suivant.

Les traces sont affichées sous la forme d'une liste dans l'encadré nommé Journaux. Si cette liste esttrop longue pour être affichée correctement dans une fenêtre de navigateur, seuls les enregistrementsles plus récents sont présentés. Dans ce cas, les liens Plus ancien et Plus récent en haut et en bas depage sont actifs et permettent de naviguer dans la liste complète.

Le bouton Exporter permet de récupérer sur votre machine cliente un fichier au format texte(log.dat) contenant les données de la page affichée. Suivant la configuration de votre ordinateur,l'appui sur ce bouton entraîne l'ouverture d'une fenêtre de téléchargement, l'affichage du contenu dufichier directement dans le navigateur ou bien encore l'ouverture d'un éditeur de texte. Dans ce derniercas, vous avez toute liberté pour sauvegarder le fichier log.dat en format texte.

Page Configuration des journaux



57

Figure 2.36. Configuration des journaux

Page Résumé des journaux


Figure 2.37. Affichage du résumé des traces

Page Journaux du serveur mandataire

Cette page vous permet de consulter les fichiers stockés dans le cache du serveur web mandataired'IPCop. Par défaut, ce serveur est inactif et doit donc être explicitement activé depuis la paged'administration spécifique (Services > Serveur mandataire (proxy)).


58

Note

Cette page n'apparaît que si la case Journaux activés a été cochée sur la page de configurationdu serveur mandataire.

À cause du volume potentiellement important d'information à traiter, cette page peutdemander quelques instants à s'afficher la première fois et à chaque mise à jour.

Plusieurs éléments de contrôle vous sont proposés en plus des listes déroulantes Mois:, Jour: et desboutons << (jour précédent), >> (jour suivant), Mise à jour, Exporter précédemment décrits :

• la liste déroulante Source IP: vous permet de choisir l'activité du mandataire Web relative à uneadresse IP particulière ou à toutes les machines de votre réseau grâce au choix TOUT.

• l'entrée Filtre: peut être utilisée pour ne pas afficher les traces relatives aux fichiers dont l'extensionest reconnue par cette expression rationnelle. Sa valeur par défaut permet d'ignorer les tracesrelatives aux images (fichiers d'extensions .gif, .jpeg, .jpg & .png), aux feuilles de style(.css) et aux fichiers JavaScript (.js).

• la case à cocher Activation du filtre: commande l'utilisation ou non du filtre précédent.

• le bouton Restaurer les paramètres par défaut réinitialise l'état des contrôles (tel que le filtre).

Pour cette page, les données affichées dans la section Journaux sont les suivantes :

• l'Heure à laquelle le fichier a été demandé et mis en cache ;

• l'Adresse IP de la machine locale du demandeur ;

• le Site web - ou plus précisément l'URL - de chaque fichier demandé et mis en cache.

Note

Les URL de la colonne Sites web sont affichées sous forme d'hyperliens pointant vers lespages web ou les fichiers concernés.

Figure 2.38. Affichage des traces du serveur mandataire


59

Page Journaux du pare-feuCette page donne un compte rendu des paquets de données bloqués par la fonction pare-feu d'IPCop.

Note

Tous les paquets bloqués ne sont pas forcément des tentatives hostiles d'accès à votre réseaupar des pirates. Il est ainsi fréquent de bloquer certains paquets pour des raisons tout à faitanodines. C'est le cas par exemple des tentatives de connexion au port "ident/auth" (113), quisont bloquées par défaut sur IPCop.

Cette page propose les éléments de contrôle détaillés précédemment : listes déroulantes Mois et Jour,boutons << (Jour précédent), >> (Jour suivant), Mise à jour et Exporter.

L'encadré Journaux: de cette page contient une ligne pour chaque paquet écarté par le pare-feu. Luisont associés l'heure de récéption du paquet, les adresses IP source et destination ainsi que le protocoleet le port concernés. Chaque entrée permet en plus d'identifier la chaîne - au sens IPTable - ayantconduit au rejet et l'interface réseau d'IPCop impliquée.

Vous pouvez obtenir des informations sur les adresses IP en cliquant dessus. IPCop effectue alorsune recherche DNS inversée et affiche les informations disponibles concernant l'enregistrement et lepropriétaire de l'adresse en question.

Figure 2.39. Affichage des traces du pare-feu

Page Journaux IDSCette page affiche les incidents détectés par l'IDS (ou Système de Détection d'Intrusion) d'IPCop. Pardéfaut, l'IDS est inactif et doit donc être explicitement activé depuis la page d'administration spécifique(Services > Détection Intrusion).

Cette page propose les éléments de contrôle détaillés précédemment : listes déroulantes Mois et Jour,boutons << (Jour Précédent), >> (Jour Suivant), Mise à jour et Exporter. Ils vous permettent d'examinerles traces de l'IDS pour un jour particulier. Pour chaque incident, vous retrouvez les informationssuivantes :

• Date: - la date et l'heure de l'incident.

• Nom: - une description rapide de l'incident.


60

• Priorité: (si disponible) - la criticité de l'incident : 1 ("sérieux"), 2 ("pas si sérieux"), et 3("éventuellement sérieux").

• Type: (si disponible) - une description générale de l'incident.

• Informations sur l'adresse IP: - l'identité IP (adresse & port) de la source et de la cible impliquéesdans l'incident. Chaque adresse IP est un hyperlien que vous pouvez utiliser pour lancer unerecherche DNS inversée donnant accès aux détails de propriété de l'adresse.

• Références: - d'éventuelles adresses web pour des informations complémentaires sur l'incident.

• SID: (si disponible) - l'identifiant Snort. "Snort" est le module logiciel utilisé par IPCop pourla fonctionnalité d'IDS, et le SID est un code interne à Snort pour identifier un type spécifiqued'attaque. Ce champ est un hyperlien vers la page Web adéquate dans la base de données dessignatures d'intrusions connues de Snort.

Figure 2.40. Affichage des traces de l'IDS

Page Journaux systèmeCette page affiche les traces propres au système ainsi que d'autres traces diverses. Consultez le débutde cette section pour l'utilisation des contrôles habituels : Mois, Jour, << (Jour précédent), >> (Joursuivant) et Mise à jour. La liste déroulante Section permet l'accès à douze catégories de traces :

• IPCop (défaut) - les événements IPCop comme les sauvegardes de profils PPP et les traces deconnexion ("PPP has gone up on ppp0 ") et de déconnexion ("PPP has gone downon ppp0 ") d'un modem.

• RED - le trafic envoyé par l'interface qui fournit l'interface PPP pour IPCop. Ceci inclut les donnéesenvoyées et reçues de modems et autres interfaces réseaux. Dans le cas de problèmes de connexion,ces traces sont souvent d'un grand secours.

• DNS - les traces de l'activité de dnsmasq, l'utilitaire pour la résolution de nom DNS.

• Serveur DHCP - les informations sur l'activité du serveur DHCP fourni par IPCop.

• SSH - la liste des utilisateurs qui se sont connectés et déconnectés du serveur IPCop par le réseauen SSH.

• NTP - l'activité de la fonction serveur de temps d'IPCop.


61

• Cron - les traces de l'ordonnanceur cron.

• Login/Logout- la liste des connexions d'utilisateurs (et déconnexions) sur le serveur IPCop. Ceciinclut à la fois les connexions locales et celles à distance par le biais de l'interface SSH.

• Noyau - l'activité du noyau Linux du serveur IPCop.

• IPSec - l'activité d'IPSec - le module logiciel qu'IPCop utilise pour le VPN.

• Mise à jour - les résultats d'applications des mises à jour d'IPCop faites depuis la page Système >Mises à jour.

• Snort - l'activité de SNORT, le système de détection d'intrusion.

Figure 2.41. Affichage des traces système

62

Annexe A. GNU Free DocumentationLicense

Version 1.2, November 2002

Copyright (C) 2000,2001,2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston,MA 02111-1307 USA. Everyone is permitted to copy and distribute verbatim copies of this licensedocument, but changing it is not allowed.

0. PreambleThe purpose of this License is to make a manual, textbook, or other functional and useful document« free » in the sense of freedom: to assure everyone the effective freedom to copy and redistributeit, with or without modifying it, either commercially or noncommercially. Secondarily, this Licensepreserves for the author and publisher a way to get credit for their work, while not being consideredresponsible for modifications made by others.

This License is a kind of « copyleft », which means that derivative works of the document mustthemselves be free in the same sense. It complements the GNU General Public License, which is acopyleft license designed for free software.

We have designed this License in order to use it for manuals for free software, because free softwareneeds free documentation: a free program should come with manuals providing the same freedomsthat the software does. But this License is not limited to software manuals; it can be used for anytextual work, regardless of subject matter or whether it is published as a printed book. We recommendthis License principally for works whose purpose is instruction or reference.

1. Applicability and DefinitionsThis License applies to any manual or other work, in any medium, that contains a notice placed bythe copyright holder saying it can be distributed under the terms of this License. Such a notice grantsa world-wide, royalty-free license, unlimited in duration, to use that work under the conditions statedherein. The « Document », below, refers to any such manual or work. Any member of the public isa licensee, and is addressed as « you ». You accept the license if you copy, modify or distribute thework in a way requiring permission under copyright law.

A « Modified Version » of the Document means any work containing the Document or a portion ofit, either copied verbatim, or with modifications and/or translated into another language.

A « Secondary Section » is a named appendix or a front-matter section of the Document that dealsexclusively with the relationship of the publishers or authors of the Document to the Document'soverall subject (or to related matters) and contains nothing that could fall directly within that overallsubject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may notexplain any mathematics.) The relationship could be a matter of historical connection with the subjector with related matters, or of legal, commercial, philosophical, ethical or political position regardingthem.

The « Invariant Sections » are certain Secondary Sections whose titles are designated, as being those ofInvariant Sections, in the notice that says that the Document is released under this License. If a sectiondoes not fit the above definition of Secondary then it is not allowed to be designated as Invariant.The Document may contain zero Invariant Sections. If the Document does not identify any InvariantSections then there are none.

The « Cover Texts » are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A Front-CoverText may be at most 5 words, and a Back-Cover Text may be at most 25 words.

GNU Free Documentation License

63

A « Transparent » copy of the Document means a machine-readable copy, represented in a formatwhose specification is available to the general public, that is suitable for revising the documentstraightforwardly with generic text editors or (for images composed of pixels) generic paint programsor (for drawings) some widely available drawing editor, and that is suitable for input to text formattersor for automatic translation to a variety of formats suitable for input to text formatters. A copy madein an otherwise Transparent file format whose markup, or absence of markup, has been arranged tothwart or discourage subsequent modification by readers is not Transparent. An image format is notTransparent if used for any substantial amount of text. A copy that is not « Transparent » is called« Opaque ».

Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfoinput format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples oftransparent image formats include PNG, XCF and JPG. Opaque formats include PostScript, PDF,proprietary formats that can be read and edited only by proprietary word processors, SGML or XMLfor which the DTD and/or processing tools are not generally available, and the machine-generatedHTML, PostScript or PDF produced by some word processors for output purposes only.

The « Title Page » means, for a printed book, the title page itself, plus such following pages as areneeded to hold, legibly, the material this License requires to appear in the title page. For works informats which do not have any title page as such, « Title Page » means the text near the most prominentappearance of the work's title, preceding the beginning of the body of the text.

A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZor contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZstands for a specific section name mentioned below, such as "Acknowledgements", "Dedications","Endorsements", or "History".) To "Preserve the Title" of such a section when you modify theDocument means that it remains a section "Entitled XYZ" according to this definition.

The Document may include Warranty Disclaimers next to the notice which states that this Licenseapplies to the Document. These Warranty Disclaimers are considered to be included by reference inthis License, but only as regards disclaiming warranties: any other implication that these WarrantyDisclaimers may have is void and has no effect on the meaning of this License.

2. Verbatim CopyingYou may copy and distribute the Document in any medium, either commercially or noncommercially,provided that this License, the copyright notices, and the license notice saying this License applies tothe Document are reproduced in all copies, and that you add no other conditions whatsoever to those ofthis License. You may not use technical measures to obstruct or control the reading or further copyingof the copies you make or distribute. However, you may accept compensation in exchange for copies.If you distribute a large enough number of copies you must also follow the conditions in section 3.

You may also lend copies, under the same conditions stated above, and you may publicly displaycopies.

3. Copying In QuantityIf you publish printed copies (or copies in media that commonly have printed covers) of the Document,numbering more than 100, and the Document's license notice requires Cover Texts, you must enclosethe copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on thefront cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identifyyou as the publisher of these copies. The front cover must present the full title with all words of thetitle equally prominent and visible. You may add other material on the covers in addition. Copyingwith changes limited to the covers, as long as they preserve the title of the Document and satisfy theseconditions, can be treated as verbatim copying in other respects.

If the required texts for either cover are too voluminous to fit legibly, you should put the first oneslisted (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.


64

If you publish or distribute Opaque copies of the Document numbering more than 100, you must eitherinclude a machine-readable Transparent copy along with each Opaque copy, or state in or with eachOpaque copy a computer-network location from which the general network-using public has accessto download using public-standard network protocols a complete Transparent copy of the Document,free of added material. If you use the latter option, you must take reasonably prudent steps, when youbegin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thusaccessible at the stated location until at least one year after the last time you distribute an Opaque copy(directly or through your agents or retailers) of that edition to the public.

It is requested, but not required, that you contact the authors of the Document well before redistributingany large number of copies, to give them a chance to provide you with an updated version of theDocument.

4. ModificationsYou may copy and distribute a Modified Version of the Document under the conditions of sections2 and 3 above, provided that you release the Modified Version under precisely this License, with theModified Version filling the role of the Document, thus licensing distribution and modification ofthe Modified Version to whoever possesses a copy of it. In addition, you must do these things in theModified Version:

A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, andfrom those of previous versions (which should, if there were any, be listed in the History sectionof the Document). You may use the same title as a previous version if the original publisher of thatversion gives permission.

B. List on the Title Page, as authors, one or more persons or entities responsible for authorship ofthe modifications in the Modified Version, together with at least five of the principal authors ofthe Document (all of its principal authors, if it has fewer than five), unless they release you fromthis requirement.

C. State on the Title page the name of the publisher of the Modified Version, as the publisher.

D. Preserve all the copyright notices of the Document.

E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.

F. Include, immediately after the copyright notices, a license notice giving the public permission to usethe Modified Version under the terms of this License, in the form shown in the Addendum below.

G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts givenin the Document's license notice.

H. Include an unaltered copy of this License.

I. Preserve the section entitled « History », Preserve its Title, and add to it an item stating at least thetitle, year, new authors, and publisher of the Modified Version as given on the Title Page. If thereis no section Entitled « History » in the Document, create one stating the title, year, authors, andpublisher of the Document as given on its Title Page, then add an item describing the ModifiedVersion as stated in the previous sentence.

J. Preserve the network location, if any, given in the Document for public access to a Transparent copyof the Document, and likewise the network locations given in the Document for previous versions itwas based on. These may be placed in the « History » section. You may omit a network location fora work that was published at least four years before the Document itself, or if the original publisherof the version it refers to gives permission.

K. In any section Entitled « Acknowledgements » or « Dedications », Preserve the Title of the section,and preserve in the section all the substance and tone of each of the contributor acknowledgementsand/or dedications given therein.


65

L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Sectionnumbers or the equivalent are not considered part of the section titles.

M.Delete any section Entitled « Endorsements ». Such a section may not be included in the ModifiedVersion.

N. Do not retitle any existing section to be Entitled « Endorsements » or to conflict in title with anyInvariant Section.

O. Preserve any Warranty Disclaimers.

If the Modified Version includes new front-matter sections or appendices that qualify as SecondarySections and contain no material copied from the Document, you may at your option designate someor all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in theModified Version's license notice. These titles must be distinct from any other section titles.

You may add a section Entitled « Endorsements », provided it contains nothing but endorsements ofyour Modified Version by various parties--for example, statements of peer review or that the text hasbeen approved by an organization as the authoritative definition of a standard.

You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words asa Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passageof Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made`by) any one entity. If the Document already includes a cover text for the same cover, previouslyadded by you or by arrangement made by the same entity you are acting on behalf of, you may notadd another; but you may replace the old one, on explicit permission from the previous publisher thatadded the old one.

The author(s) and publisher(s) of the Document do not by this License give permission to use theirnames for publicity for or to assert or imply endorsement of any Modified Version.

5. Combining DocumentsYou may combine the Document with other documents released under this License, under the termsdefined in section 4 above for modified versions, provided that you include in the combination all of theInvariant Sections of all of the original documents, unmodified, and list them all as Invariant Sectionsof your combined work in its license notice, and that you preserve all their Warranty Disclaimers.

The combined work need only contain one copy of this License, and multiple identical InvariantSections may be replaced with a single copy. If there are multiple Invariant Sections with the samename but different contents, make the title of each such section unique by adding at the end of it, inparentheses, the name of the original author or publisher of that section if known, or else a uniquenumber. Make the same adjustment to the section titles in the list of Invariant Sections in the licensenotice of the combined work.

In the combination, you must combine any sections Entitled « History » in the various originaldocuments, forming one section Entitled « History »; likewise combine any sections Entitled« Acknowledgements », and any sections Entitled « Dedications ». You must delete all sectionsEntitled « Endorsements. »

6. Collections of DocumentsYou may make a collection consisting of the Document and other documents released under thisLicense, and replace the individual copies of this License in the various documents with a singlecopy that is included in the collection, provided that you follow the rules of this License for verbatimcopying of each of the documents in all other respects.

You may extract a single document from such a collection, and distribute it individually under thisLicense, provided you insert a copy of this License into the extracted document, and follow this Licensein all other respects regarding verbatim copying of that document.


66

7. Aggregation With Independent WorksA compilation of the Document or its derivatives with other separate and independent documents orworks, in or on a volume of a storage or distribution medium, is called an « aggregate » if the copyrightresulting from the compilation is not used to limit the legal rights of the compilation's users beyondwhat the individual works permit. When the Document is included an aggregate, this License does notapply to the other works in the aggregate which are not themselves derivative works of the Document.

If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if theDocument is less than one half of the entire aggregate, the Document's Cover Texts may be placedon covers that bracket the Document within the aggregate, or the electronic equivalent of covers ifthe Document is in electronic form. Otherwise they must appear on printed covers that bracket thewhole aggregate.

8. TranslationTranslation is considered a kind of modification, so you may distribute translations of the Documentunder the terms of section 4. Replacing Invariant Sections with translations requires special permissionfrom their copyright holders, but you may include translations of some or all Invariant Sections inaddition to the original versions of these Invariant Sections. You may include a translation of thisLicense, and all the license notices in the Document, and any Warrany Disclaimers, provided that youalso include the original English version of this License and the original versions of those notices anddisclaimers. In case of a disagreement between the translation and the original version of this Licenseor a notice or disclaimer, the original version will prevail.

If a section in the Document is Entitled « Acknowledgements », « Dedications », or « History », therequirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title.

9. TerminationYou may not copy, modify, sublicense, or distribute the Document except as expressly provided forunder this License. Any other attempt to copy, modify, sublicense or distribute the Document is void,and will automatically terminate your rights under this License. However, parties who have receivedcopies, or rights, from you under this License will not have their licenses terminated so long as suchparties remain in full compliance.

10. Future Revisions of This LicenseThe Free Software Foundation may publish new, revised versions of the GNU Free DocumentationLicense from time to time. Such new versions will be similar in spirit to the present version, but maydiffer in detail to address new problems or concerns. See the GNU Free Documentation License[http://www.gnu.org/licenses/licenses.html#FDL] web site.

Each version of the License is given a distinguishing version number. If the Document specifies thata particular numbered version of this License « or any later version » applies to it, you have the optionof following the terms and conditions either of that specified version or of any later version that hasbeen published (not as a draft) by the Free Software Foundation. If the Document does not specifya version number of this License, you may choose any version ever published (not as a draft) by theFree Software Foundation.

http://www.gnu.org/licenses/licenses.html#FDL

http://www.gnu.org/licenses/licenses.html#FDL

ipcop admin fr

Documents

page daccueil

page mots

page courbes

page lissage

page graphes

page sauvegarde

page arrter

page connexion