BOT - Commencez ici
 
   

Première configuration

Avant que BOT ne puisse être activé, vous devez définir quel ordinateur sera utilisé comme console d'administration de BOT.
Dans l'interface WebGUI de IPCop, cliquez sur l'option: Firewall -> BlockOutTraffic. Vous verrez alors l'écran suivant:

Cliquez sur 'EDITION' pour accéder à la page de configuration de BOT:

Adresse MAC d'administration:
Il s'agit de l'adresse MAC de la carte réseau du poste de travail à partir duquel vous administrez BOT.

Port HTTPS (445 par défaut):
Il s'agit du numéro de port HTTPS utilisé pour accéder au WebGUI de IPCop.

BOT crée par défaut une règle 'Accès Administrateur' avec comme adresse source l'adresse MAC du poste de travail et comme adresse de destination, le port HTTPS du serveur IPCop. Cela sert à garantir que vous ne vous ferez pas interdire l'accès à l'interface WebGUI de IPCop. C'est pour cette raison que vous devez entrer une adresse MAC Administrateur et un port HTTPS ici.

Etat de la Connexion:
BOT permettra le traffic provenant une connection établie ou redirigée si vous cochez cette option. Quand vous utilisez la redirection de port (Port-Forwarding) vers un serveur web interne, par exemple, vous devriez activer cette option.

Journal:
BOT créera des règles afin de journaliser le traffic qui ne correspond pas aux règles de vous avez définies dans BOT, si vous cochez cette option.

Action de REFUS par défaut:
Ici, vous décidez si BOT doit ignorer (DROP) ou refuser (REJECT) le traffic qui n'a pas correspondu à une des règles définies dans BOT.

Mode Avancé:
Si vous cochez cette option, plus d'options vous seront proposées afin de personnaliser les règles de BOT. Mais attention, si mal configuré, le mode avancé peut ouvrir des brèches dans votre pare-feu!! Vous ne devriez cocher cette option que si vous avez une connaissance approfondie du fonctionnement d'un pare-feu.

Quand vous cliquez sur "Sauvegarder', vos choix sont enregistrés et vous pouvez alors commencer à définir des règles de BOT et activer d'autres caractéristiques pratiques. De plus, des options avancées supplémentaires peuvent être configurées à partir du WebGUI dans Pare-feu -> Configuration Avancée de BOT:

Premièrement, vous devriez définir quelques services personnalisés, vous pourrez ensuite sélectionner ces services quand vous créerez des groupes de services ou vos propres règles BOT:

Il y a trois services personnalisés définis dans l'exemple ci-haut:

  • IPCop SSH est nécessaire pour administrer votre pare-feu IPCop via ssh.
  • IPCop HTTPS est nécessaire pour accéder au WebGUI de IPCop. L'ordinateur avec l'adresse MAC 'Administrateur', tel que défini dans la configuration de BOT, sera capable de se brancher au WebGUI mais peut-être voudrez-vous permettre à l'accès au WebGUI à d'autres ordinateurs.
  • IPCop PROXY est défini ici pour être utilisé dans un règle de BOT afin de permettre l'accès au WebProxy de IPCop pour naviguer sur l'Internet.

Ensuite, vous pouvez définir des regroupements de services, des adresses personnalisées, des regroupements d'adresses ou ajouter une nouvelle interface:

Quand vous sélectionnez 'Regroupement de Services', vous verrez l'écran ci-dessous:

Dans les captures d'écrans ci-haut, les groupes suivants ont été défini:

  • Services par défaut contient des services, principalement reliés aux courriels, auxquels vous pouvez décider d'accorder l'accès à vos postes de travail internes.
  • Administration IPCop contient des services permettant d'administrer IPCop. Ce groupe peut être utilisé pour donner facilement accès à la console d'administratuion à plusieurs postes de travail.
  • Services IPCop contient des services tel que DNS, Proxy, NTP et DHCP. Ce groupe peut être utilisé pour donner accès à ces services IPCop à vos postes de travail internes.

Après avoir défini des services personnalisés et des groupes de service, nous sommes maintenant prêts à définir nos premières règles BOT.

Donc, que veut-on faire maintenant? Nous voulons permettre aux postes de travail internes

  • d'envoyer et de recevoir des courriels,
  • de naviguer sur l'internet via le Webproxy de IPCop,
  • d'utiliser les services DNS, DHCP et NTP du serveur IPCop,
  • et plus tard (comme cerise sur le gateau) nous voulons permettre à deux postes de travail d'administrer le serveur IPCop via le WebGUI de IPcop et SSH.

Nous avons déjà défini quelques groupes de services pour accomplir ce que nous désirons faire. Donc, comme première règle BOT, nous allons permettre aux postes du travail du réseau local (LAN) d'accéder aux services IPCop.

Retournez à la section BlockOutTraffic (Webgui -> Pare-feu -> BlockOutTraffic) et 'Ajouter une nouvelle règle'. Vous verrez alors l'écran GUI suivant où vous pourrez sélectionner plusieurs options pour la nouvelle règle à créer. Les options du pare-feu sont regroupées selon les catégories suivantes: Source, Destination, Paramètres supplémentaires and Plage horaire (si cette règle doit être active selon un horaire spécifique).

Donc, pour permettre aux postes de travail du réseau local (interface VERTE) d'utiliser les services du pare-feu IPCPop, sélectionnez comme Source:

  • Interface par défaut: VERT
  • Réseaux par défaut: Réseau VERT

et comme Destination, cochez:

  • Accès à IPCop
  • Service utilisé et Groupe de services "Services IPCop" (Celui que vous avez créé plutôt dans la section 'Configuration avancée de BOT')

Le règle doit enfin être activée et vous pouvez entrer un commentaire si le coeur vous en dit.

Il ya deux manières de procéder par la suite; vous pouvez cliquer sur [Suivant] ou [Sauvegarder]. Si vous choisissez [Sauvegarder], la règle sera sauvegardée et ajoutée à la fin de le liste des règles de BOT. Si vous choisissez [Suivant], vous verrez un résumé des options sélectionnées pour la nouvelle règle et vous aurez la possibilité de choisir la position où insérer celle-ci dans la liste des règles de BOT.

Si vous avez cliqué sur [Suivant], vous verrez l'écran suivant:

Vous pouvez retourner à l'écran précédent [Précédent] si vous voulez changer une option ou cliquer sur [Sauvegarder] pour sauvegarder la règle à la position spécifiée. Au début, la position de la règle dans la liste n'est pas très importante, mais à mesure que vous ajouterez des règles, vous voudrez assurément insérer des règles à une position précise dans la liste.

La règle est sauvegardée et vous verrez enfin un résumé des règles actuellement appliquées:

Désormais, les services de IPCop sont disponibles aux postes de travail du réseau interne (réseau VERT).

Maintenant, créons une règle pour permettre l'accès à quelques services Internet.

Cliquez sur [Nouvelle Règle] et sélectionnez les options suivantes.

Comme Source:

  • Interface par défaut: VERT
  • Réseaux par défaut: Réseau VERT

Comme Destination:

  • Autre Réseau/Extérieur
  • Réseaux par défaut: Peu Importe (Any) (Les postes de travail ont la permission d'accéder à toutes les adresses Internet)
  • Service utilisé
  • Sélectionnez Groupe de service: Service par défaut (le deuxième groupe de services que vous avez créé dans la section 'Configuration avancée de BOT')

La règle doit être activée et, encore une fois, vous pouvez entrer un commentaire.

Maintenant cliquez sur [Sauvegarder] ou [Suivant]+[Sauvegarder] et vous aurez créé votre deuxième règle BOT.

Les postes de travail internes ont maintenant la possibilité d'accéder à l'Internet et au courrier électronique (vous pourrez ajouter plus de services au groupe "Services par Défaut" plus tard) et d'utiliser les services DNS, DHCP, NTP et Webproxy du pare-feu IPCop.

Votre liste de 'Règles actives' devrait ressembler maintenant à ce qui suit:

Vous êtes maintenant prêt à activer BOT. Tout le traffic qui n'est pas permis par vos règles sera bloqué à partir de ce moment.

Vous pouvez décider de permettre à quelques ordinateurs d'administrer le serveur IPCop via le WebGUI ou SSH. Pour cela, voir le chapître suivant: "Configuration 'plus' avancée".

Configuration 'plus' avancée

Les premières règles BOT ayant été définies, nous pouvons maintenant aller un pas plus loin. Nous allons définir une règle BOT pour permettre l'administration de IPCop à partir de postes de travail internes.

Premièrement, définissons les adresses personnalisées des postes de travail 'Administrateur' dans "Règlage d'adresse' de la section 'Configuration avancée de BOT':

Dans l'image ci-haut, vous remarquerez deux postes de travail 'Administrateur' définis par leur adresse MAC. À l'instar des services personnalisés, vous pouvez utiliser ces adresses personnalisées dans vos règles BOT ou les regrouper ensemble dans des groupes d'adresses.

À partir de l'option 'Regroupement d'adresse' de la section 'Configuration avancée de BOT', nous allons créer un groupe nommé 'Admins' à partir des deux adresses personnalisées créées auparavant:

Nous sommes maintenant déjà prêts à créer la règle administrateur. Retournez à la page BlockOutTraffic et cliquez sur [Nouvelle règle].

Entrez les options suivantes, sélectionnez comme Source:

  • Interface par défaut: VERT
  • Groupe d'Adressse: Admins

Comme Destination:

  • Accès à IPCop
  • Services Utilisés
  • Sélectionnez Groupe de Services: IPCop admin (le troisième groupe que vous avez défini dans 'Configuration avancée de BOT' au début)

Voilà! Nous avons terminé. Votre liste de 'Règles actives' devrait maintenant ressembler à ceci:

IPCop - The Bad Packets Stop Here

BlockOutTraffic - The Firewall WebGUI Addon for IPCop


 
  Créé par dotzball (2006) | Design par wintermute