Mise en place d’un pare-feu IPCOP

Dans cette article je vais mettre en place un pare-feu IPCOP dans le cadre du schéma logique suivant.

IPCOP est une machine physique, il est possible de la virtualiser, avec trois cartes réseau.

Mon routeur n’ayant que deux interfaces physique, j’utilise un switch qui me permet de « découper » en plusieurs Vlans.

Entre l’internet et mon pare-feu il y a un autre réseau, le réseau 192.168.5.0/24.

Listes des Vlans :

N° de Vlan

Nom

Réseau

5

Client

10.0.6.0/24

10

Serveur

172.16.6.0/24

20

VOIP

192.168.6.0/24

30

Admin

172.16.255.0/29

40

DMZ

172.17.0.0/24

50

Wi-Fi

172.18.0.0/24

I) Installation

On commence par télécharger l’image d’IPCOP, sur le site officiel (ici), ensuite on crée une clé USB bootable avec l’image d’IPCOP, avec rufus par exemple.

On insère la clé dans la machine IPCOP et on boot dessus. L’installation se lance, on choisit notre langue, notre disposition de clavier et notre zone de temps.

Ensuite on choisit notre disque dur et on accepte le formatage de ce dernier pour que l’installeur puisse installer IPCOP.

On se trouve devant le choix du mode d’installation (mode HardDrive ou mode Flash), dans le cas ou notre disque dur est un HDD il faut prendre HardDrive et si on a un SSD on choisit Flash

Linstalleur nous demande si on a une sauvegarde d’IPCOP qu’on peut restaurer à ce moment, comme je n’ai pas de Backup à restaurer je Skip cette étape.

On indique le nom de la machine et le domaine local.

 

L’installeur nous demande comment configurer l’interface RED (la WAN), on va la configurer en statique.

Nous devons assigner une couleur à chaque interface. L’interface RED est notre WAN, l’interface vers l’extérieur, l’interface GREEN qui correspond à notre LAN et l’interface ORANGE qui correspond à notre DMZ.

Ensuite on configure l’adresse de l’interface GREEN et de l’interface RED.

On note le DNS de notre domaine local, ainsi que la passerelle par défaut (le prochain routeur pour que l’on puisse sortir vers l’internet)

Puis on indique l’adresse IP de notre interface ORANGE.

On peut activer le DHCP sur notre pare-feu, comme j’ai un DHCP dans mon Vlan serveur, je Skip cette étape.

Pour finir on définit le mot de passe de root, d’admin et du backup. L’utilisateur root est l’utilisateur local de notre machine, l’utilisateur admin est l’utilisateur de l’interface WEB d’IPCOP et le mot de passe backup sert à restaurer le backup demandé plus tôt dans ce tuto.

La machine redémarre, nous allons pouvoir définir des routes statiques.

II) Définition de route statique

Une fois que la machine à redémarré on se connecte avec root sur la machine. Je vais définir des routes statiques pour que le pare-feu puisse renvoyer les paquets vers les différents réseau LAN.

Table de routage du routeur :

Réseau

Passerelle

Interface

Réseaux connectés

10.0.6.0/24 (5)

10.0.6.1

10.0.6.1

172.16.6.0/24 (10)

172.16.6.1

172.16.6.1

192.168.6.0/24 (20)

192.168.6.1

192.168.6.1

172.16.255.0/29 (30)

172.16.255.1

172.16.255.1

172.18.0.0/24 (50)

172.18.0.1

172.18.0.1

0.0.0.0/0

172.16.255.2

172.16.255.1

Table de routage IPCOP :

Réseau

Passerelle

Interface

Réseaux connectés

172.16.255.0/29 (30)

172.16.255.2

172.16.255.2

172.17.0.0/24 (40)

172.17.0.1

172.17.0.1

192.168.5.0/24 (70)

192.168.5.14

192.168.5.14

Réseaux coté R1

10.0.6.0/24 (5)

172.16.255.1

172.16.255.2

172.16.6.0/24 (10)

172.16.255.1

172.16.255.2

192.168.6.0/24 (20)

172.16.255.1

172.16.255.2

172.18.0.0/24

172.16.255.1

172.16.255.2

0.0.0.0/0

192.168.5.252

192.168.5.14

On entre ces commandes sur ma machine :

route add -net 10.0.6.0/24 gw 172.16.255.1

route add -net 172.16.6.0/24 gw 172.16.255.1

route add -net 192.168.6.0/24 gw 172.16.255.1

route add -net 172.18.0.0/24 gw 172.16.255.1

On ajoute toutes ces commandes dans le fichier /etc/rc.d/rc.event.local pour que les routes soient prises en compte au démarrage de la machine.

III) Mise en place de règle de filtrage

On commence par aller sur l’interface web qui se trouve à l’adresse https://@IP:8443 (htts://172.17.255.2:8443).

Maintenant que nous avons nos tables de routages opérationnel, nous allons pouvoir filtrer les paquets. Les règles de pare-feu se définissent dans le menu « firewall > firewall rules« .

Pour commencer nous allons créer une nouvelle règle de sortie (outgoing), on clique donc sur « Outgoing Traffic » sur la page des règles de pare-feu.

Quelques règles en guisse d’exemple :

Règle N°1 : seul le proxy fait du WEB

Ensuite on renseigne l’interface qui va recevoir les paquets, comme le proxy se trouve du côté LAN c’est l’interface GREEN qui recevra (source). On précise également l’adresse du serveur proxy (127.16.6.103). Quant à la destination, les paquets sortiront par l’interface WAN (RED) et iront vers n’importe quel réseau sur le port 80.

On fait la même règle pour le HTTPS.

Règle N°2 : Seul nos DNS font de la résolution de nom

On va autoriser nos DNS (j’ai deux DNS, 172.16.6.2 et 172.16.6.3) à faire de la résolution de nom, ce seront les deux seuls autorisé à le faire. La règle pour ça est la même que pour le WEB, mise à part le port de destination qui change.

Règle N°3 : Des mails pour tout le monde

On autorise tous les réseaux à faire du SMTP, POP3 et de l’IMAP. La configuration sera identique aux autres, seuls les ports changent.

Règle N°6 : Autoriser les pings

On autorise toutes les machines de notre LAN à ping vers l’extérieur.

Règle N°5 : Par défaut on refuse tout !

J’ajoute une règle par défaut qui refusera tous les paquets qui ne répondent pas aux exigences des règles précédentes.

Règle N°6 : Personne ne ping mon interface RED

Je fais une règle « External IPCop Access » qui permet de dire que tous les paquets ICMP reçus sur l’interface RED sont refuser.

Règle N°7 : Port forwarding

Enfin on va faire du port forwarding, tout ce que l’interface RED recevra sur son port 80 (ou 443) sera redirigés vers le serveur WEB de la DMZ.

Je n’ai pas détaillé toutes les règles qu’on met en place, ces quelques règles permettent de comprendre le fonctionnement, la configuration et les possibilités qu’offre IPCOP.

Règle Personnaliser

Dans notre schéma nous avons un proxy dans notre LAN et un proxy dans le réseau connecté à IPCOP (voir mon article sur la mise en place d’un proxy). Mon proxy parent fonctionne sur le port 8080 (l’ancien port proxy), il faut faire une ouverture de port au niveau d’IPCOP pour laisser passer les communications entre les deux proxys.

On va commencer par aller dans le menu services d’IPCOP et on va ajouter un service.

On indique un nom pour notre service, on choisit sur quel protocole il va tourner puis le port concerné. Ainsi on peut définir un nouveau port à filtrer.

On peut voir le service, que l’on vient d’ajouter, dans l’onglet « custom services ».

On crée notre règle pour permettre les proxys à communiquer entre eux.

Et tout de suite un récapitulatif de toutes les règles mises en place.

Règle N°

Sert à

OUTGOING

1

Autoriser DNS 1 fais du DNS

2

Autoriser DNS 2 fais du DNS

3

Autoriser Proxy à faire HTTPS

4

Autoriser Proxy à faire HTTP

5

Autoriser tous le SMTP

6

Autoriser tous le POP3

7

Autoriser tous le IMAP

8

Autoriser les ICMP

9

Refuser tout le reste

INTERNAL

1

Autoriser LAN à faire SSH sur DMZ

2

Autoriser LAN à faire FTP sur DMZ

3

Autoriser LAN à faire HTTP sur DMZ

4

Autoriser LAN à faire HTTPS sur DMZ

5

Refuser tout le reste

PORT FORWARDING

1

Translate le port 80 de l’interface WAN vers le serveur WEB de la DMZ

2

Translate le port 443 de l’interface WAN vers le serveur WEB de la DMZ

EXTERNAL IPCOP ACCESS

1

Refuser de ping l’interface notre WAN

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.