TP SI2 – Pare-feu IPFIRE – ANNEXES

ANNEXE A : INSTALLATION IPFIRE

Création de la machine virtuelle

Choisir l’assistant personnalisé (custom) Laisser la compatibilité par défaut (workstation 9.0)

Choisir la 3ème option : « J’installerai le système Vous pouvez sélectionner Linux / Debian comme
d’exploitation plus tard ». type de système d’exploitation invité.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 1/18

Nommer la machine « IpFire-XX », XX étant votre Laisser le nombre de processeurs proposé par
numéro, et choisir le répertoire que vous avez créé, défaut.
indiqué dans le support du TP.

Adapter la taille mémoire à votre machine Utiliser « bridgé » comme type de connexion pour
physique : 512 MB c’est bien, mais on peut la 1ère carte. Ce sera l’interface utilisée pour simuler
descendre à 256 MO si nécessaire. la connexion à Internet.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 2/18

Laisser la proposition recommandée pour le Il s’agit bien d’un nouveau disque (1ère option,
contrôleur de disque sélectionnée par défaut)

Laisser la proposition recommandée pour le type de La taille proposée par défaut (20 GB). 8 GB est
disque (SCSCI) largement suffisant. Sélectionner l’option « un seul
fichier pour le disque virtuel ».NE PAS ALLOUER
tout l’espace disque immédiatement, ce serait
contre-productif.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 3/18

Laisser le nom de fichier disque proposé par défaut Cliquer sur « Finish » pour terminer la préparation
de la machine virtuelle.

Paramétrage de la machine virtuelle

Avant de démarrer la machine, il nous faut la « customiser » un minimum :

- Brancher le CD-ROM sur l’image du système IP-FIRE (vous la trouverez dans le sous-
répertoire ISO)
- Ajouter des cartes réseau, pour permettre au pare-feu d’être relié au réseau local et la
zone DMZ.
Accéder aux « Settings » de la machine virtuelle que vous venez de créer et sélectionner l’ISO.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 4/18

Ajouter ensuite 2 cartes réseau en suivant les étapes suivantes :

Cliquer sur « Add.. » pour ajouter un matériel. Choisir « Network Adapter » (Interface réseau)
comme type de matériel.

Sélectionner un réseau virtuel spécifique et choisir Recommencer les étapes précédentes pour ajouter
VMnet2 pour la 2ème carte ajoutée. la 3ème carte, mais choisir de la raccorder au
VMnet3.
Ce VMnet correspondra à la DMZ. Ce VMnet correspondra au LAN (réseau local)

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 5/18

 Installation du système
Démarrer la machine virtuelle. Elle devrait booter sur le CD-ROM correspondant à l’ISO IPFIRE
sélectionnée. Vous devriez obtenir l’écran d’accueil ci-dessous.

Appuyer sur <Entrée> pour lancer l’installation. Choisir la langue Français.

Pour sélectionner l’option « J’accepte les termes de

cette licence » utiliser la touche Espace.
Valider le message d’avertissement (après l’avoir Accepter la licence, puis valider en sélectionnant OK
lu)

Un message d’avertissement signale la préparation Accepter le système de fichiers proposé (Ext4)

du disque (sda = 1er disque). Sélectionner oui.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 6/18

Laisser l’installation se dérouler. Cela prend Noter l’URL par laquelle vous pourrez accéder à
quelques instants. l’interface de configuration, surtout le port (444).

Avant de redémarrer, ou bien juste après, il faut vérifier les adresses MAC affectées aux différentes
interfaces, parce que c’est la seule façon der les distinguer.

Cliquer successivement sur les 3

icônes représentant les cartes
réseau pour récupérer l’adr. MAC.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 7/18

 Vérification des interfaces

Noter l’adresse MAC associée à chaque carte, avant de redémarrer en

cliquant sur l’icône de la carte réseau, et en choisissant « Settings… ».
Noter l’adresse MAC pour chaque carte.
Carte 1 (Bridged)  Connexion internet
Carte 2 (VMnet2)  Connexion LAN
Carte 3 (VMnet3  Connexion DMZ

Pour connaître l’adresse MAC d’une carte, procéder ainsi :

Sélectionner la carte, puis cliquer sur « Advanced… » Repérer la MAC Address et notez la
(au moins les 4 derniers symboles)

Configuration d’IPFIRE
La configuration du pare-feu se fait après redémarrage.

Valider le choix proposé Sélectionner « fr-latin9 » comme type de clavier

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 8/18

Choisir « Europe/Paris » comme fuseau horaire Donner « ipfire-XX » comme nom d’hôte
(XX étant votre numéro)

Le domaine a peu d’importance. Entrer le mot de passe suivant : PASSWORD

Suggestion : « plateforme.sio » NB : rien ne s’affiche quand vous le tapez, c’est
normal. Une fois validé une 1ère fois, il faut le
confirmer sur la ligne en-dessous.

Il faut également un mot de passe pour le compte Il faut ensuite configurer la machine d’un point de
admin qui sera utilisé pour l’administration via vue réseau. Il y 4 options à configurer.
l’interface HTTP. La 1ère est le type de configuration réseau ; valider
Entrez le mot de passe « gtrft » en minuscules. cette 1ère option pour accéder à cet élément de
configuration.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 9/18

Choisir la configuration correspondant à notre Il faut ensuite attribuer une carte à chaque
besoin : GREEN – RED – ORANGE. « couleur » de zone.
VERT = LAN) - ROUGE = Internet - ORANGE = DMZ

Choisir la carte 1ère interface (verte) … Lui affecter la carte associée au LAN, donc au
vmnet2 (utiliser l’adresse MAC pour la choisir)

Choisir ensuite la 2ème interface (RED) … … Pour lui associer la carte « bridgée » sur la carte
réelle de la machine hôte, censée représenter
l’Internet.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 10/18

Procéder de même pour l’interface ORANGE Il ne vous reste normalement qu’une seule carte,
celle associée au vmnet3

Sélectionner le bouton « Terminé » On passe ensuite à la configuration IP des

interfaces.

La carte verte (LAN) pour commencer Un message d’avertissement s’affiche. Lisez-le puis
cliquer sur OK

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 11/18

L’adresse de l’interface sur le réseau GREEN (LAN) On passe ensuite à l’interface « ORANGE » …
sera obligatoirement 172.22.250.1, avec un masque
de 255.255.255.0.

L’adresse de l’interface sur le réseau ORANGE On termina par l’interface « RED » …

(DMZ) sera obligatoirement 172.23.250.1, avec un … autrement dit celle du « pseudo-internet ».
masque de 255.255.255.0.

Elle sera configurée (à titre plutôt exceptionnel, La configuration des interfaces est terminée.
contrairement à la réalité la plus courante) en Sélectionner donc « Terminé »
statique : 172.21.XX.1, avec un masque de
255.255.0.0. (XX = 99 pour M. PAUL)
ATTENTION au conflit d’IP

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 12/18

Il reste les paramètres DNS et de passerelle. Indiquer 172.21.0.1 comme DNS primaire et
172.21.0.2 comme adresse de passerelle par défaut.

La configuration est terminée. On sélectionne donc Reste éventuellement la configuration d’un serveur
« Terminé » DHCP sur le réseau local. Activer avec la touche
espace.
On va l’utiliser pour le client LAMP situé dans le
LAN, donc indiquer :
- une adresse de début de plage : 172.22.250.101
- une adresse de fin de plage : 172.22.250.120
- un serveur DNS 172.21.0.1 (Moliere)

L’installation est enfin terminée !

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 13/18

ANNEXE B : TEST du PARAMETRAGE par DEFAUT d’IPFIRE
Démarrage d’IPFire
Lorsqu’IPFIRE redémarre, après configuration, vous
obtenez l’écran ci-dessus. Il n’y a pas nécessite de
se connecter en temps normal directement sur la
machine.
En effet, la configuration des règles de pare-feu ne
se fait pas directement sur la machine, mais via une
interface HTTP comme nous le verrons ci-après.
Toutefois, vous pouvez vous connecter, si besoin,
par exemple pour vérifier les adresses des
différentes interfaces en cas de dysfonctionnement.

Ci-dessous l’administrateur s’est connecté (root / PASSWORD) et a lancé la commande ip addr pour
visualiser les adresses des interfaces, clairement identifiées par leur nom (red0, green0, orange0)

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 14/18

 Accès à la page d’administration d’IPFIRE depuis le client situé dans le LAN
L’accès à la page d’administration se fait par le l’URL donnée en fin d’installation : https://ipfire:444
On remplace ipfire par l’adresse IP du pare-feu côté LAN, dans notre configuration : 172.22.250.1

Si on oublie https (pour une connexion sécurisée), Comme le certificat assurant la connexion sécurisée
un message plus ou moins explicite s’affiche. n’est pas un certificat officiel, garanti par un tiers de
confiance, un message d’avertissement s’affiche.
Cliquer sur « Je comprends les risques » …

… puis ajouter une exception… … et la confirmer en cliquant sur « Confirmer

l’exception de sécurité » (et en cochant
« Permanente » pour éviter de le refaire à chaque
connexion).

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 15/18

 Un mot de passe est ensuite requis : il s’agit du
compte admin, comme indiqué lors de l’installation.
Si vous avez respecté les préconisations pour ce TP,
le mot de passe est gtrft (en minuscules).

Si l’authentification réussit, vous devriez obtenir la page web suivante :

Par défaut, l’onglet système est sélectionné.

La configuration réseau est résumée ici.

Accès au serveur WEB de la DMZ depuis le LAN

Dans le navigateur du client présent sur le LAN, il est facile de vérifier l’accès au serveur présent dans la
DMZ depuis le LAN.
CQFD ?
L’accès au serveur HTTP présent dans la DMZ est
bien opérationnel depuis le LAN.
Si ce n’est pas le cas :
 Vérifiez que la communication est possible
via un ping. (ping de la passerelle, ping du
serveur)
 Vérifier la bonne configuration du client
 Vérifier la bonne configuration du serveur.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 16/18

ANNEXE C : Accès à la DMZ depuis l’extérieur
Préambule
Vous pouvez tester l’accès à la DMZ depuis l’extérieur (depuis l’internet ou le pseudo-internet. Il ne
fonctionne pas. Et c’est normal !
Ce n’est pas du fait d’une configuration spéciale nécessaire aux besoins du TP : même si vous mettez le
pare-feu en passerelle par défaut de votre machine réelle, elle ne pourrait en aucun cas pinguer une
machine dans le LAN ou dans la DMZ.
Dans la réalité il y aurait une raison supplémentaire : les adresses du LAN et de la DMZ sont privées, et donc
inaccessibles depuis l’Internet.
Mais il y a déjà une raison de sécurité, sécurité assurée ici précisément par le pare-feu IPFIRE !
 Par défaut aucune communication n’est autorisée à l’initiative de l’extérieur. Toute demande
arrivant sur la patte « rouge » du routeur est rejetée…
… sauf s’il s’agit d’une réponse à un requête initiée depuis l’intérieur.
Vous connaissez le principe : un port est ouvert dynamiquement, grâce au principe du NAT/PAT
pour permettre de recevoir la réponse.
Sans NAT/PAT, la communication ne pourrait pas fonctionner, que ce soit sur notre maquette virtuelle ou
dans la réalité, car un routeur qui fait le lien entre un réseau local privé et Internet ne route pas tout
simplement, mais « nate ».
C’est d’ailleurs la raisons pour laquelle un ping vers une machine du réseau externe (pour nous réseau du
lycée) fonctionne, alors qu’il n’y aucune raison d’un point de vue routage qu’il puisse obtenir une réponse.
 En fait c’est l’interface « publique » du pare-feu IPFIRE qui fait la demande en son propre nom
(autrement dit avec l’IP publique), puis restitue la réponse au client qui a lancé le ping.

Mise en place de la redirection de port (ou transfert de port ou mapping)

Accéder à l’onglet « pare-feu » et au lien « Transfert de port » (page affichée par défaut) :

On indique que tout ce qui arrive sur le

port 80 au niveau de l’interface rouge …

… sera redirigé sur l’IP de destination

(privée) 172.23.250.80 et sur le port 80.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 17/18

 Lorsqu’on clique sur Ajouter, la règle
s’ajoute dans la liste.

Vérification de l’accès depuis l’extérieur

Depuis le poste réel, on doit pouvoir maintenant accéder au serveur LAMP situé dans la DMZ, mais
attention en utilisant l’adresse « publique » du pare-feu. Aucune chance d’y accéder en donnant l’adresse
« privée » du serveur LAMP.

L’accès fonctionne bien : inutile de spécifier le port, puisque nous avons « ouvert » et « redirigé » le port 80
sur le pare-feu, port par défaut pour HTTP.

D’après LA MARTINIERE DUCHERE LYON TP PARE-FEU IPFIRE - ANNEXES PAGE 18/18