0

Guide d’installation IPFire Proxy Firewall

IPFire est une distribution Linux basée sur Linux From Scratch offrant notamment les services de Firewall, Proxy, DMZ…
C’est une solution gratuite, professionnelle, sécurisée, efficace et peu gourmande.
L’interface de management est simple et fonctionnelle et nombreuses « apps » sont disponibles sous formes de packs à installer pour ajouter des fonctions supplémentaires.

Vous pouvez trouver plus d’informations et télécharger la dernière version sur http://www.ipfire.org/download

Installation de IPFire 2.19 version 108

Dans notre situation, le serveur IPFire sera placé en Frontend, directement connecté au routeur de sortie et fera l’intermédiaire avec le LAN interne

3 Interfaces réseau sont nécessaires pour la configuration INTERNET+LAN+DMZ

Dans le cas d’une machine virtuelle, choisir Linux 3.x kernel 64-bits

L’ISO est une distribution complête, vous pouvez la monter sur le lecteur et booter dessus

Lancer l’installation qui suivra les étapes suivantes :

  • Choisir la langue
  • Démarrer l’installation
  • Accepter la licence
  • Formater le disque en ext4

L’installation est terminée, redémarrer le serveur

  • Choisir la langue du clavier
  • Choisir la zone géographique pour l’heure
  • Entrer le nom de la machine
  • Entrer le nom du domaine
  • Entrer le mot de passe root
  • Entrer le mot de passe admin

Configuration Réseau

Network configuration type :

GREEN + RED + ORANGE

Drivers and card assignments :

Affecter les cartes reseau du serveur aux interfaces green, red et orange.

Configuration d’adresse :

Affecter une configuration réseau (DHCP ou statique) aux interfaces

Dans notre cas (VM) eth0 est en DHCP et eth1 et eth2 sont en configuration statique

DNS and Gateway settings :

Parametrer un serveur DNS et une passerelle uniquement si l’interface red eth0 est en statique

Vous pouvez activer la fonction DHCP sur l’Ipfire, nous n’en avons besoin si nous avons déjà un serveur DHCP

Interface WEB

Acceder à l’interface web de l’IPFire depuis la zone verte LAN à l’adresse : https://IPSERVEUR:444

Accepter l’erreur de certificat de sécurité et poursuivre vers la page web d’administration

Se connecter avec l’identifiant admin et le mot de passe saisi à l’installation

Configuration du Proxy web

Onglet Reseau > Proxy web

Activer la le Proxy en mode transparent sur l’interface Green

Activer le Filtre URL

Verifier que tous les réseaux présents coté green LAN sont présents dans

« Contrôle d’accès réseau / Sous réseaux autorisés (un par ligne): * »

Sauver et redemarrer la configuration

Onglet Reseau > Filtre de contenu

Activer les mises à jour automatiques de la liste noire
Mettre à jour le calendrier automatiquement: hebdomadairement
Sélectionner la source de téléchargement: Université de Toulouse
Valider les paramètres et mettre à jour
Cocher les cases correspondantes aux catégories que vous voulez bloquer

Vous pouvez aussi ajouter des adresse de domaine manuellement en ajouter dans Blacklist perso et Activer

Activer l’acces SSH au serveur IPfire

Onglet Système > Acces SSH > Cocher Acces SSH et Sauvegarder

Installation des VM tools

Onglet IPFire > Pakfire > Installer l’addon openvmtools-10.0.5-3227872-2 en appuyant sur +

Installation du Load balancer Pound

Le serveur IPFire va faire office de répartiteur de charge rudimentaire en redirigeant les requêtes entrantes sur l’IP externe (red) vers les serveurs web de la DMZ de manière aléatoire grâce à Pound. Une redirection NAT devra être configuré sur le firewall voir après.

Onglet IPFire > Pakfire > Installer l’addon pound en appuyant sur +

ListenHTTP
	Address	0.0.0.0
	Port	80
	End

	Service
		BackEnd
			Address 10.69.1.10
			Port 80
		End
		BackEnd
			Address 10.69.1.11
			Port 80
		End
	End

Onglet Statut > Services > Demarrer le service

Création d’une route statique

Onglet Reseau > Static Routes

Renseigner l’adresse IP et la passerelle du réseau que vous voulez que l’IPFire puisse joindre et activer la règle

192.168.224.16/28 via 192.168.224.14 dev green0 proto static

Création des Règles du Parefeu

Règle 1 : Pour donner accès aux services DNS à la DMZ

Source : Standard networks : ORANGE
Destination : Standard networks : GREEN
Protocol : UDP Accept

Règle 2 : De base, IPFire autorise uniquement le réseau correspondant à l’interface green0 à sortir, il faut créer une règle pour que les autres réseaux puissent sortir en passant par le proxy

Source : Source address (MAC/IP address or network) 192.168.224.0/24
Destination : Standard networks : RED
Protocol : Tous Accept

Règle NAT : Pour diriger tous le traffic externe entrant sur le port 80 vers Pound pour qu’il traite la demande

Source : Standard networks : RED
Destination : Firewall Tous
Protocol : TCP Accept

Activer les règles

Configuration du relais DHCP

Pour permettre aux clients de la DMZ de profiter des services DHCP du LAN, il faut paramétrer le serveur IPFire pour qu’il assure le relais DHCP

Vous pouvez indiquer plusieurs serveurs

SERVERS=192.168.224.1
SERVERS=192.168.224.2
INTERFACES=orange0 green0

Pour que ce service soit lancé automatiquement au démarrage du serveur, il faut ajouter la ligne suivante au fichier de configuration

/etc/init.d/dhcrelay start

Configuration Proxy du parc

Ce proxy etant transparent (passerelle de sortie obligatoire) les postes n’ont pas a etre configurés, mais je vous conseille de déployer un script de configuration automatique PAC afin d’optimiser les flux et limiter les requêtes traitées par le proxy.

fred

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *