Newbie Kit IpCop

[Muzo]

Bonjour,

Au vue des questions réccurentes, il devient nécessaires de créer un Newbie Kit, un guide de survie IpCop qui va recensé les questions les plus souvent posées (Mon modem sagem f@st 800 y marche pas comment qu'on fait?).

Ce post ne devra recenser que des réponses à des questions, une sorte de FAQ, tout autre type de message se verra systématiquement supprimé.

Voici le gabarit type à utiliser (faites un bête copier/coller pour votre nouvelle question/réponse):

Code: Tout sélectionner

[b]Question :[/b]
[b]Mots Clefs :[/b]
[b]Réponse :[/b]


Exemple :

Question : Comment utiliser le Newbie Kit Ipcop
Mots Clefs :débutants, noob, newbie
Réponse :
Vous avez copier le gabarit précédent, maintenant il faut remplir les informations suivantes:
Dans la partie Question, mettez la question la plus souvent posée.
Dans la partie Mots Clefs, les mots qui permettront de retrouver cette réponse dans le moteur de recherche Ixus
Dans la partie Réponse la, mettez réponse à la question, avec les liens vers les sites, les codes utilisés (les balises bbcodes sont là pour ca)

Ne mettez une Question/Réponse QUE si vous en avez la réponse. Si vous ne l'avez pas, posez avant votre question dans le forum, puis si cela fonctionne, mettez la démarche utilisée, les trucs et astuces que vous avez du utilisé pour arriver à la réponse.

Pour ceux qui se veulent un exemple, il existe d'autres Newbie Kit :
- Newbie Kit SME (RPM, HowTo, ... )
- [TUTORIAL] Guide du newbie sous Debian
- [TUTORIAL] Guide de Survie Iptable/Netfilter <-- Bon exemple à suivre
- Newbie Kit Ixus: le guide du débutant sur Ixus

[Muzo]

Question : Ou trouver Ipcop ?
Mots Clefs : site web officiel, download, iso, bittorent

Réponse :

Site Officiel : www.ipcop.org

Vous pouvez downloader les images Iso ou Bittorent sur le site officiel, mais aussi sur SourceForge (pas de bittorent sur SourceForge) : http://sourceforge.net/projects/ipcop/

Autres Sites utiles :
- http://ipcop.hn.org/
- http://www.chbcp.net/~pat/ipcop/admin/html/ch01.html : Documentation francaise d'IpCop.

[neodragon]

Question : Comment modifier le port d'écoute 445 de l'interface d'administration de ipcop ?

Mots clefs : port https, interface, administration, port 445

Réponse :
Modifier la valeur "445" par celle de votre choix (exemple 4445) :
- à 2 endroits dans le fichier /etc/httpd/conf/httpd.conf --> ligne 23 (environ)

Code: Tout sélectionner

"Listen 4445"

et ligne 119 (environ)

Code: Tout sélectionner

"VirtualHost_default_:4445"

- et à 1 seul endroit dans le fichier /var/ipcop/header.pl --> ligne 171 (environ)

Code: Tout sélectionner

"print "Location: https://$ENV{'SERVER_ADDR'}:4445/$ENV{'PATH_INFO'}\r\n\r\n";"

Penser à rebooter ipcop pour prendre en compte les changements.

[shwing]

Question : Comment installer le MOD serveur. (qui permet d'installer les addons tant utiles)

Mots clés : MOD serveur , installer addon , add-on ,

Réponse :

-Il est nécessaire d'avoir installé et configuré :

PUTTY --> http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
et
WinSCP2 --> http://winscp.sourceforge.net/eng/download.php#download2

Ensuite télécharger le package du MOS serveur --> http://firewalladdons.sourceforge.net/ vous y trouverez aussi le How to en anglais.

Lancez WinSCP2 crée un dossier "temp-perso" à la racine du disque et transférez le fichier tar.gz dedans.

Lancez Putty (login as : root / root@192.168.x.x's password : ****************************)

ensuite :

Code: Tout sélectionner

"cd /"   = revenir à la racine du disque.

"cd temp-perso"   = aller dans votre dossier temp-perso

"tar -zxvf nom_du _fichier.tar.gz"  (actuellement = addons-2.2-CLI-b2.tar.gz )   = dézipper le fichier

"cd addons"    = aller dans le dossier dézippé

"./setup -i"    = pour lancer l'installe.


Retournez sur votre navigateur et allez sur la page de votre ipcop (https://192.168.x.x:445) et vous verez un nouvel onglet "ADDONS" Il est possible que l'onglet ne s'affiche pas en entier, mais lors du prochain reboot cela devrait être fixé.

Voilà, c'est terminé. Pour l'utilisation du MOS serveur, je vous laisse voir...!

[lakestionkitue]

Question : Comment accèder à l'interface web HTTPS d'IPCOP ainsi qu'a l'accès en ligne de commande via SSH à partir de n'importe où dans l'internet interface ROUGE
Mots Clefs : HTTPS, port 445, prot 4445, Accès externe, part feu, SSH, port 222, putty
Réponse :

Une fois que vous avez réalisz la manipulation qui consiste a changer le port 445 décrite ci dessus,
Il faut ouvrir les accès externes correspondant dans le part feu faute de quoi vous ne pourrez pas accèder à l'interface web ni même en ligne de commande via SSH.
La manipulation est décrite dans "l'Administrative Guide d'IPCOP"

Dans la version 1.4.2, aller dans Part-feu\Accès externe puis

-choisir le protocole : TCP
-Dans le champ adresse source ou réseau : indiquer l'adresse IP de la machine que vous allez utiliser pour accèder à IPCOP si elle est fixe. Vous pouvez mettre une adresse de réseau. Ne rien mettre dans ce champ autorisera n'importe quelle machine a accèder à IPCOP via le port que vous allez spécifier juste après. Ceci permet d'accèder à votre machine depuis n'importe quel endroit dans l'internet mais à les défauts de ses qualités : c'est plutot dangereux, mieux vaut avoir un mot de passe costaud car n'importe qui peut se faire a main à cet accès.
-Dans le champs port de destination mettre 222 pour l'accès SSH (port par défaut à l'installe d'IPCOP), 445 pour l'accès HTTPS (c'est l'interface WEB) ou 4445 si vous avez fait la modif co dessus.
-Cochez la case activer.
-Adresse IP de destination, choisissez : Adresse par défaut".
-Puis cliquer sur Ajouter!

Répéter ces 6 étapes pour ajouter les ports 222, et 4445.

Pour accèder en ligne de commande via SSH, assurez vous d'avoir bien activé dans l'onglet System\SSH la case Activé.

[shwing]

COMPATIBLE AVEC IPCOP 1.4.x

Question: Comment éteindre ou redémarrer Ipcop facilement, sans utiliser son "browser" préféré ? (via un raccourci)

Mots Clefs: shutdown, éteindre, éteindre à distance, rédemarrer, redémarrage

Réponse:

Il est indispensable d'utiliser PUTTY --> http://www.chiark.greenend.org.uk/~sgta ... nload.html
et
d'avoir activé le SSH sur Ipcop !


-->SHUTDOWN
Créez un fichier texte : shutdown.txt et insérez ceci

Code: Tout sélectionner

shutdown -h now

sauvegardez-le dans un dossier et placez putty.exe dans ce dossier.

Créez un racourci de putty. Clic droit - propriétés et insérez cette ligne suivant dans le champs "Cible: , en modifiant les valeurs par les vôtres.

H:\PROGRAMMES\putty\putty.exe -ssh -2 -P 222 root@192.168.34.254:445 -pw mon_mot_de_passe_secret -m shutdown.txt

Maintenant libre à vous de bouger ce raccourci où bon vous semble.




-->RESTART
Créez un fichier texte: restart.txt et insérez ceci

Code: Tout sélectionner

reboot

ou

Code: Tout sélectionner

shutdown -r 10|now

ce qui fera rebooter votre ipcop dans 10 minutes.

sauvegardez-le dans un dossier et placez putty.exe dans ce dossier.

Créez un racourci de putty. Clic droit - propriétés et insérez cette ligne suivant dans le champs "Cible: , en modifiant les valeurs par les vôtres.

H:\PROGRAMMES\putty\putty.exe -ssh -2 -P 222 root@192.168.34.254:445 -pw mon_mot_de_passe_secret -m restart.txt

Maintenant libre à vous de bouger ce raccourci où bon vous semble.

[Riric]

Question: Où puis-je trouver plus d'informations sur IPCop ?

Mots Clefs: ipcop, faq, site principal, français

Réponse:
Toutes les réponses (ou presque) sont disponibles sur la Foire Aux Questions à cette adresse :
http://www.ipcop.org/modules.php?op=modload&name=FAQ&file=index

Choisir d'abord la langue française sur la page d'accueil http://www.ipcop.org (drapeau français en bas à droite) et ho! miracle, la FAQ sera en français .

Bonne lecture.

[pfrancois]

Question: Donnez un exemple d'arguments pour la commande ssh vers un pare-feu sous ipcop

Mots-clef: ipcop, ssh, 22, 222

Réponse:
Dans le cas où le serveur ssh est activé de la façon standard, il suffit de faire:

Code: Tout sélectionner

ssh -p 222 root@ipcop

où ipcop par le nom de la machine à laquelle on veut accéder ou son adresse IP.

[elarifr]

Question: Reconfiguration Réseau / Clavier / Hote / Domaine .... apres Installation

Mots-clef: ipcop configur change driver carte reseau green red orange

Réponse: en ouvrant une console root, entrez setup
on peut alors changer la config clavier, Nom d'hote, Nom domaine, Mot de passe root et admin
mais surtout modif du mode de fonctionnement RED / GREEN / ORANGE et la config des cartes reseau. C'est la même procedure qu'a l'installation et donc pas besoin de revenir dessus,

SAUF QUE; on ne peux pas reconfigurer GREEN !
il faut rentrer le driver à la main dans /var/ipcop/ethernet/settings

Entrez sous root
cd /var/ipcop/ethernet
nano settings

Editez alors
GREEN_DRIVER=
GREEN_DISPLAYDRIVER=
et saisissez le nom de carte voulue.

Vous ne connaissez pas le nom de la carte ?
Nottez le nom des cartes inscrites pour RED_DRIVER, ORANGE_DRIVER
Quittez nano CTRL X

Lancez setup, choisissez pour red ou orange la carte dont vous voulez le nom de driver et finissez le setup

Relancez nano settings
il suffit de remplacer dans GREEN_DRIVER le nom de la carte que vous avez testés en RED ou ORANGE et reecrire les drivers adequats de RED / ORANGE

sauvegardez CTRL W dans settings
quittez nano CTRL X

reboot




[/b]

[ixusnet9]

Question: Configurer le VPN avec certificat entre 2 ipcops 1.4.0 & supérieur
Mots-clés: VPN, Certificat.

Réponse: Ce HowTo est inspiré de http://www.databrokers.net/ipcop/vpn-to-vpn-detailed-how-to.html qui a le mérite d'être simple, je l'ai testé entre un ipcop 1.4.0 et 1.4.5, pas besoin d'utiliser le winscp pour transférer les certificats, pas besoin de reboot. On fait tout à partir de son pc d'admin à partir du moment qu'on a accès à l'interface d'administration des ipcops distants.

Schéma de principe
GREEN1---- ipcop1.dyndns.org ------------- Internet ----------------- ipcop2.dyndns.org ---- GREEN2

* GREEN1 a pour réseau local 192.168.0.0/24
* ipcop1 a une adresse publique dynamique d'ou l'utilisation de dyndns.org => ipcop1.dyndns.org, sinon en ip fixe pas besoin de dyndns.org.
* GREEN2 a pour réseau local 10.0.0.0/24
* ipcop2 a une adresse publique dynamique d'ou l'utilisation de dyndns.org => ipcop2.dyndns.org, sinon en ip fixe pas besoin de dyndns.org.
* Attention, ipcop1 et ipcop2 est un exemple pour illustrer ce tutoriel, remplacer ipcop1 et ipcop2 par le nom que vous utilisez.


Procédure pas à pas

Preparation

1. Sur ipcop1, menu RPVs:

1. Faire un RAZ Config pour supprimer les anciennes config s'il y a lieu.
2. Taper dans le champ “Nom d'hôte ou IP locale du RPV:” ipcop1.dyndns.org, cocher la case Activé et cliquer sur Enregistrer

2. Sur ipcop2, menu RPVs

1. Faire un RAZ Config pour supprimer les anciennes config s'il y a lieu.
2. Taper dans le champ “Nom d'hôte ou IP locale du RPV:” ipcop2.dyndns.org, cocher la case Activé et cliquer sur Enregistrer

Géneration des certificats racine et Systeme

3. Sur ipcop1: Cliquez sur “Géneration des certificats racine et Systeme” et remplir comme ci-dessous:

1. ipcop1 pour “Nom d'Organisation"
2. ipcop1.dyndns.org pour “Nom d'Hote IPCop's”
3. Selectionner le pays
4. Cliquer sur “Géneration des certificats racine et Systeme”, cela va creer les certificats (qui peut prendre un moment) et enfin retour à la page d'accueil de RPVs.
5. Cliquer sur l'icone qui ressemble à une disquette “Télécharger le certificat racine”. Une invite va s'afficher pour donner un nom de fichier à sauver. Le nom de fichier par défaut est cacert.pem, renommez le cacertipcop1.pem pour éviter les confusions. Sauvegardez le fichier sur votre bureau.
6. Cliquer sur l'icone qui ressemble à une disquette “Télécharger le certificat système”. Une invite va s'afficher pour donner un nom de fichier à sauver. Le nom de fichier par défaut est hostcert.pem, renommez le hostcertipcop1.pem pour éviter les confusions. Sauvegardez le fichier sur votre bureau

4. Sur ipcop2: Cliquez sur “Géneration des certificats racine et Systeme” et remplir comme ci-dessous:

1. ipcop2 pour “Nom d'Organisation"
2. ipcop2.dyndns.org pour “Nom d'Hote IPCop's”
3. Selectionner le pays
4. Cliquer sur “Géneration des certificats racine et Systeme”, cela va creer les certificats (qui peut prendre un moment) et enfin retour à la page d'accueil de RPVs.
5. Cliquer sur l'icone qui ressemble à une disquette “Télécharger le certificat racine”. Une invite va s'afficher pour donner un nom de fichier à sauver. Le nom de fichier par défaut est cacert.pem, renommez le cacertipcop2.pem pour éviter les confusions. Sauvegardez le fichier sur votre bureau.
6. Cliquer sur l'icone qui ressemble à une disquette “Télécharger le certificat système”. Une invite va s'afficher pour donner un nom de fichier à sauver. Le nom de fichier par défaut est hostcert.pem, renommez le hostcertipcop2.pem pour éviter les confusions. Sauvegardez le fichier sur votre bureau
Upload the CA Certificates

A ce stade, nous allons faire connaitre les 2 machines ipcop entre eux, ainsi ils pourront mutuellement faire confiance grace aux certificats de l'un et l'autre.

5. Sur ipcop1:

1. Taper ipcop2 pour le “Nom de l'autorité de certification"
2. Cliquer sur Parcourir et selectionner le fichier cacertipcop2.pem (qui se trouve sur votre bureau)
3. Cliquer sur “Transferer le certificat CA", cela a pour but de transferer le certificat d'ipcop2 sur ipcop1. Une 3ème ligne va s'afficher en bas dans la colonne Autortités de Certification.

6. Sur ipcop2:

1. Taper ipcop1 pour le “Nom de l'autorité de certification"
2. Cliquer sur Parcourir et selectionner le fichier cacertipcop1.pem (qui se trouve sur votre bureau)
3. Cliquer sur “Transferer le certificat CA", cela a pour but de transferer le certificat d'ipcop1 sur ipcop2. Une 3ème ligne va s'afficher en bas dans la colonne Autorités de Certification.

Creation d'un VPN

7. Sur ipcop1: Cliquer sur “Ajouter” button situé au milieu. Sur l'écran suivant, séléctionner "RPV réseau à réseau" et remplir comme ci-dessous :

1. ipcop2 pour le “Nom”
2. left pour le “Coté IPCop”
3. 192.168.0.0/255.255.255.0 pour le sous “Réseau Local"
4. ipcop2.dyndns.org (ou son IP fixe) pour le “Serveur/IP distant”
5. 10.0.0.0/255.255.255.0 as the “Sous Réseau Distant"
6. Dans la partie “Authetification", cliquer sur ''Transférer un certificat". Cliquer sur "Parcourir" afin de mettre le fichier hostcertipcop2.pem (qui se trouve sur le bureau).
7. Cliquer sur Enregistrer.

8. Sur ipcop2 (tout est inversé): Cliquer sur “Ajouter” button situé au milieu. Sur l'écran suivant, séléctionner "RPV réseau à réseau" et remplir comme ci-dessous :

1. ipcop1 pour le “Nom”
2. right pour le “Coté IPCop”
3. 10.0.0.0/255.255.255.0 pour le sous “Réseau Local"
4. ipcop1.dyndns.org (ou son IP fixe) pour le “Serveur/IP distant” (
5. 192.168.0.0/255.255.255.0 as the “Sous Réseau Distant"
6. Dans la partie “Authetification", cliquer sur ''Transférer un certificat". Cliquer sur "Parcourir" afin de mettre le fichier hostcertipcop1.pem (qui se trouve sur le bureau).
7. Cliquer sur Enregistrer.


FIN

[ixusnet9]

Question: Reconnexion automatique VPN ipcop to ipcop en ip dynamique ou ip fixe (pour IPCOP v1.4.x)
Mots clés: script VPN, redemarrer VPN, VPN auto

Réponse:
Merci à popoch et Viking pour ce script de reconnexion.

1/ Créer un script intitulé reconn_vpn.sh dans /usr/local/bin avec un editeur de texte (vi par exemple)

Code: Tout sélectionner

#!/bin/sh
LOG=/var/log/messages
getip() {
IP=`/usr/sbin/ipsec eroute |grep -F "@" | cut -f2 -d"@" | grep -F ":" | cut -f1 -d":"`
}
#verif si tunel si UP
OK=no
getip
if ! [ "$IP" ]; then
echo "PAS D'ADRESSE IP VALIDE";
OK=no;
else
echo "ADRESSE IP EXISTE";
for i in $IP; do
if [ $OK = "no" ]; then
ping -n -q -c 1 -i 1 $i
if [ $? = "0" ]; then
OK=yes
fi
fi
done
fi
if [ $OK = "no" ]; then
echo "pas de vpn ou déconnecté"
/usr/local/bin/ipsecctrl S
echo $(date)" : Reconnexion VPN" >>$LOG;
fi

2/ Taper sous root pour mettre les droits d'execution sur le script

Code: Tout sélectionner

chmod 755 /usr/local/bin/reconn_vpn.sh

3/ Taper sous root pour planifier le lancement du script tous les 5 minutes:

Code: Tout sélectionner

fcrontab -e

Inserer à la fin du fichier crontab, le code suivant

Code: Tout sélectionner

*/5 * * * * /usr/local/bin/reconn_vpn.sh

Pour quitter et enregistrer, taper ":x" (sans les guillemets) en mode commande

FIN

[loberty]

Question : Comment faire simplement un VPN entre IPCOP et un PC sous Windows.

Mots Clefs : VPN, roadwarrior, OpenVPN, Zerina

Réponse :

Une configuration VPN entre un serveur VPN (IPCOP) et un client VPN se nomme Roadwarrior.
Ici le client VPN sera obligatoirement Windows, sachant qu'il est tout à fait possible de le faire avec un autre OS.

Il existe plusieurs manière de réaliser un VPN de type Roadwarrior.
Le problème généralement se pose pour trouver le bon logiciel et les bons paramètres à saisir sur le client VPN.
La solution ici proposée est d'ajouter ZERINA (OpenVPN) à IPCOP et d'installer OpenVPN GUI for Win32 sur le PC.

A faire sur IPCOP
Il vous faut installer ZERINA.
C'est un serveur VPN qui viens s'installer en plus de celui d'IPCOP.
Vous le trouverez à l'adresse suivante : http://home.arcor.de/u.altinkaynak/openvpn.html
Avec WinSCp, copiez le sur votre IPCOP dans ROOT.
Puis avec PUTTY, décompressez le par la commande tar -xzvf ./ZERINA-0.9.1b-Installer.tar.gz.
Ensuite, après s'être rendu dans le répertoire de ZERIA, installez le par ./install
ZERINA est alors installé.
Suivez le howto suivant pour le configurer : http://home.arcor.de/u.altinkaynak/howt ... step1.html

A faire sur le PC Windows
Sur votre PC Windows, installez OpenVPN GUI for Win32 : http://www.openvpn.se/download.html
Une fois fait, installer le fichier ZIP récupéré sur votre IPCOP et copiez son contenu dans le dossier config de OpenVPN GUI (son contenu pas le dossier lui-même).
Avec le bouton droite de la souris, cliquez sur l'icone de OpenVPN GUI for Win32 qui est dans le systray.
Faîtes connect.

Notes
1. Si vous désirez voir les noms des machines de votre réseau distant depuis votre PC, aller modifier la configuration réseau qui est faite sur la carte réseau virtuelle installée par OpenVPN GUI for Win32 .
Mettez comme serveur WINS l'adresse du serveur WINS du réseau distant (s'il y en a un) et activés "activer NETBIOS avec TCP/IP".
Il vous faut avoir un plan d'adressage local différent de celui du réseau distant.
Si ce n'est pas possible, alors modifiez sur votre pc local, le fichier ovpn (dossier config de OpenVPN GUI for Win32) en ajoutant à la fin "--route 10.0.0.0 255.255.255.0" où 10.0.0.0 représente l'adresse du réseau distant. Attention, dans ce cas, tant que la connexion VPN est active pour ne pourrez plus accédez à vos stations locales.
2. Si vous désirez avoir accès depuis votre cconnexion VPN à BLUE ou ORANGE, alors modifiez sur votre pc local, le fichier ovpn (dossier config de OpenVPN GUI for Win32) en ajoutant à la fin "--route 10.0.0.0 255.255.255.0" où 10.0.0.0 représente l'adresse du réseau distant auquel vous désirez accéder.[/quote]

[loberty]

Question : Comment héberger un serveur WEB ou FTP derrière IPCOP

Mots-clefs : transferts de ports, serveur web, serveur ftp, héberger, hébergement

Réponse :

Généralités
Vous avez le souhait d'héberger un serveur sur votre réseau local.
Vous souhaitez que les personnes de l'extérieur puisse accéder à ce serveur.
Au sein d'IPCOP il vous faut paramètrer les accès de l'extérieur vers le serveur.

Sur le serveur

Connectez votre serveur sur votre réseau, soit sur l'interface GREEN soit sur l'interface ORANGE (DMZ).
N'oubliez pas de configurer la passerelle au sein de la connexion réseau votre serveur, celle passerrelle est l'adresse IP d'IPCOP, soit l'adresse ORANGE si vous connectez votre serveur à ORGANGE, soit l'adresse de GREEN si vous connectez votre serveur à GREEN.

Sur IPCOP

Au sein de l'interface d'IPCOP, allez dans PARE-FEU puis dans TRANSFERTS DE PORTS.
Dans PORT SOURCE, saisissez l'adresse sur laquelle vont se connecter les utilisateurs, par exemple 21 pour du FTP, 80 pour du HTTP, etc ...
Dans ADRESSE IP DE DESTINATION, saisissez l'adresse IP de votre serveur
Dans PORT DESTINATION, saisissez l'adresse à laquelle votre serveur répond, par exemple 21 pour du FTP, 80 pour du HTTP, etc ...
Vérifiez que la boîte à cocher ACTIVEE soit bien cochée
Cliquez sur le bouton AJOUTER.

Notes

Attention, vous ne pourrez pas tester que le transfert de ports fonctionne si vous le testez depuis votre réseau. En effet, les règles de sécurité de IPCOP ne l'autorise pas (antispoofing).
Ce principe fonctionne à l'hergement de tout serveur. Le plus important est de bien connaître avec quels ports fonctionnent votre serveur et le protocole TCP ou UDP.

[loberty]

Question : Qu'est-ce qu'IPCOP bloque et laisse passer comme flux.

Mots-clefs : ports, ouvrir, fermer, sécurité

Réponse :

A l'installation d'IPCOP, sans ajout de addons, sans modification du système, les flux sont gérés de la manière suivante :

Connexions en provenance de => à destination de
RED => IPCOP : fermé*
RED => GREEN : fermé*
RED => ORANGE : fermé*
RED => BLUE : fermé*

ORANGE => IPCOP : fermé**
ORANGE => GREEN : fermé***
ORANGE => BLUE : fermé***
ORANGE => RED : ouvert**

BLUE => IPCOP : fermé****
BLUE => GREEN : fermé***
BLUE => ORANGE : fermé****
BLUE => RED : ouvert**

GREEN => IPCOP : ouvert**
GREEN => ORANGE : ouvert**
GREEN => BLUE : ouvert**
GREEN => RED : ouvert**

Légende :

GREEN : correspond à l'interface où est connecté le réseau local
RED : correspond à l'interface où est généralement connecté le périphérique permettant d'accéder à internet (modem, modem/routeur, USB ou ethernet)
IPCOP : le firewall IPCOP
BLUE : correspond à l'interface où est généralement connecté le WIFI Access Point
ORANGE : correspond à l'interface où sera connectée la DMZ

Annotations :
* : pour ouvrir, utilisez l'interface graphique d'IPCOP avec PARE-FEU => TRANSFERTS DE PORTS
** : pour fermer voir http://forums.fr.ixus.net/viewtopic.php?p=199127#199127
*** : pour ouvrir, utilisez l'interface graphique d'IPCOP avec PARE-FEU => ACCES A LA DMZ
**** : pour ouvrir, utilisez l'interface graphique d'IPCOP avec PARE-FEU => ACCES A BLUE

Bonne chance

[loberty]

Question : Comment autoriser/interdire des flux, protocoles, ou ports ?

Mots-clefs : Flux, iptables, block out trafic, bot, netfilter

Réponse :

Pour autoriser ou interdire des ports et/ou des protocoles il existe différentes manières :

soit en utilisant l'interface HTML d'IPCOP :
soit en utilisant IPTABLES
soit en utilisant le addons BlockOutTrafic (il existe d'autres addons pour cela)

INTERFACE D'IPCOP

PARE-FEU => TRANSFERTS DE PORTS : permet de gérer les connexions provenant de RED à destination de GREEN, ORANGE ou BLUE
PARE-FEU => ACCESS EXTERNES : permet de gérer les connexions provenant de RED à destination d'IPCOP
PARE-FEU => ACCESS A LA DMZ et ACCESS A BLUE : permettent de gérer les connexions entre GREEN, BLUE, et ORANGE

IPTABLES
IPTABLES est une commande permettant de définir à NETFILTER (la partie firewall de LINUX) ce qui est autorisé ou interdit.
Le paramétrage se fait via la console.
Les paramètres peuvent être saisis à différents endroits, le plus simple est de les saisir "dans /etc/rc.d/rc.firewall.local" avec l'utilitaire vi.
Lorsque vous avez modifié ce fichier, pour que le nouveau paramétrage soit pris en compte, tapez la commande "/etc/rc.d/rc/firewall restart".
Une commande de paramétrage ressemble à cela :

/sbin/iptables/ -I INPUT -s !10.0.083 -p tcp --destination-port 81 -j DROP
cela signifie : interdire (DROP) toute connexion à IPCOP (INPUT) sur le port 81 provenant de toute machine excepté 10.0.0.83 (! 10.0.0.83)

IPTABLES est très riche, ce n'est pas avec moi que vous apprendrez à vous en servir, je vous conseille entres autres :

http://ipcop.hn.org
http://lea-linux.org/reseau/secu/iptables.html
http://christian.caleca.free.fr/netfilter/iptables.htm
http://www.faqs.org/docs/iptables/
Si cela ne vous suffit pas : http://www.google.fr/search?hl=fr&q=iptables

BLOCK OUT TRAFIC
Vous pouvez faire une bonne partie de tout cela de manière graphique.
Pour cela utilisez le addons Block Out Trafic.
Pour installer ce addons (http://firewalladdons.sourceforge.net/blockouttraffic.html) vous devez installer au préalable le serveur de addons sur votre IPCOP (http://firewalladdons.sourceforge.net/).

Bonne chance