Jump to content
Chewkiwhey

Configuration du Firewall Ipfire

Recommended Posts

Bonjour,

 

Je suis actuellement en deuxième année de BTS SNIR ( Système Numérique Informatique et Réseau) au lycée Nicolas Appert ( qui sais peut-être que vous connaissez ^^') à Orvault. A l'issue de cette formation nous avons un projet à réaliser et c'est ce qui justifie ma présence ici. Après avoir essayé de faire du bricolage à partir de différents tutoriels sans succès concret, j'aimerai reposer les bases avec vous :D !

 

Notre projet consiste donc à proposer et mettre en place deux Firewall ( pas en même temps ) qui permettront de faire le travail d'un firewall déjà existant, mais qui a pour soucis ( de ce que j'ai compris ^^') d’empêcher certains paquets de mise à jour de passer. Nous avons donc opté pour OPNSense et Ipfire. Du côté de OPNSense, le paramétrage semble être correct, mais vis à vis de Ipfire nous avons plus de mal. Etant actuellement en vacance j'ai installé Ipfire sur une machine virtuelle qui sert de pont au pc pour accéder à internet, ce qui me permet donc de tester l'efficacité du filtrage. Je vous fournit donc le montage originel, que je n'ai pas sous la main actuellement, pour visualiser un peu.

 

Le gros soucis que nous rencontrons est de pouvoir filtrer des sites web passant par https. On peut évidement bloquer tout le flux de ce protocole, mais le but étant de seulement bloquer les sites référencés via la blacklist de Toulouse. Je vous fais donc parvenir à la suite différents Screenshots de la configuration du firewall. Aucunes règles n'est inscrite pour voir cela avec vous en bonnes et du forme :D.

 

Par ailleurs j'ai aussi un autre soucis, qui je pense est lié au faite que je passe par machine virtuelle, mais il m'est impossible d'activer les différents services que j'ai put télécharger via l'interface web.

Bon je ne m'épilogue pas trop, j'aimerai autant que l'on fasse ça pas à pas pour bien comprendre chaque étapes réalisées, qui plus est ce sera aussi un bon moyen d'en sortir un tutoriel pour les personnes qui devront, si il convient mieux, s'en servir. Vali valou ;D.

 

Merci d'avoir lu ce petit pavé certainement bourré de fautes o_O.

 

 

RéseauSécuriséV2.0.png

Services_Ipfire_Off.png

ProxyWeb.png

FiltreContenu.png

RèglesPare-feu.png

OptionPare-feu.png

Share this post


Link to post
Share on other sites

Bonjour,

 

Ce forum est dédié au professionnel de l'informatique et non pour les étudiants qui attendent qu'on leur fasse leur TP

merci

Share this post


Link to post
Share on other sites

Charmante cette réponse, simple, propre et concis avec une touche de piquant. On ressent le professionnalisme, WHOOA ! Une merveille.

Merci à vous.

Que votre journée soit radieuse avec tout le bonheur du monde.

 

 

 

 

 

Share this post


Link to post
Share on other sites

Par ailleurs, en me replongeant  brièvement dans les prérequis d'inscription du forum, j'ai trouvé ça : "Les forums de tech2tech sont dédiés aux professionnels de l'informatique, ou futurs professionnels de l’informatique." ce qui me semble être mon cas par le biais de ma formation ( à moins qu'il faut voir a moins long terme, peut-être). Le fait de guider quelqu'un vers la solution n'implique pas que la personne attende de l'autre côté sans rien faire, si j'ai fait la démarche de m'inscrire sur ce forum, c'est tout simplement parce que l'on bloquait. Excusez moi d'avoir voulu poser le contexte qui entoure les deux questions, au grand malheur et désespoir. Mais bon, on peut pas être professionnel partout.

Sur ce le sujet est clos pour ma part. Je vous laisse entre pro.

Share this post


Link to post
Share on other sites
Le 16/02/2019 à 09:33, mrclean a dit :

Bonjour,

 

Ce forum est dédié au professionnel de l'informatique et non pour les étudiants qui attendent qu'on leur fasse leur TP

merci 

@mrclean Ce forum est effectivement destiné aux professionnels, et à ceux qui sont en train de le devenir... S'il est évident que personne ne fournira de solutions à un TP ou un devoir, la démarche ici n'est pas de demander à mâcher un travail, mais de poser un problème dans sa globalité.

Libre à chacun ensuite d'apporter de l'aide, ou non...

 

@Chewkiwhey Le problème d'abord, si j'ai bien compris, c'est que tu ne parviens pas à faire fonctionner le proxy pour qu'il bloque les URL d'une blacklist, c'est ca?

Pour qu'on puisse t'aider, maintenant que la globalité de l'infrastructure est exposée, merci de résumer clairement qu'est ce que tu ne parviens pas à faire, et ce que tu as essayé de faire pour que ca fonctionne.

Share this post


Link to post
Share on other sites

@Pyrithe Premièrement je tiens a vous remercier pour avoir pris mon cas en considération et aussi m'excuser du retard que j'ai pu mettre pour répondre, il est vrai que je ne m'attendais plus trop à avoir d'aide, heureusement que j'avais activer les notifications ^^'.

 

Donc, en effet le principal problème que nous rencontrons viens de faites que nous n'arrivons pas a bloquer les sites utilisant le protocole https, contrairement à ceux utilisant le protocole http. Il semble que ce soit un problème récurrent sur le firewall Ipfire d'après les divers topics que j'ai put lire.

J'ai également un autre problème qui vient des addons installé via l'interface web, qui ne daigne pas se lancer, j'ai rajouter de la mémoire vive octroyé a la machine virtuelle ( les services ont besoin de 512 Mo pour fonctionner) mais ceci n'a pas eut d'effet. C'est un problème certes gênant pour la suite mais ce n'est pas la principal raison de ma venue.

 

Bloquage HTTPS :

 

La première étape, celle qui semble la plus logique à été de simplement référencer dans la blacklist propre au Firewall ( je préfère réaliser les tests sur un site en particulier avant de pouvoir étendre ceci à une blacklist complète). Nous avons donc essayer d'ajouter Facebook au nom de domaine à bloquer, sans succès.

 

La deuxième solutions que nous avons essayé a été de directement référencer l'adresse ip du site, ceci marche un temps, manque de chance, celle-ci n'est pas fixe, on pouvait s'en douter au vue l'ampleur de l'entreprise qui gère ceci. Qui plus est ce n'est pas une réel solution, étant donner qu'il est forcement plus simple d'inscrire un nom de domaine et que les blacklist sont composées de ceux-ci.

 

La troisième solutions à été d'ajouter un hôtes via l'interface web ( pour être honnête je n'ai pas très bien compris en quoi cela consistait, si ceci redirigeait vers l'adresse ip qui m'était demandé d'inscrire ou si l'on affilié l'adresse ip d'hôte a un nom de domaine, ne permettant pas l'accès au site, l'adresse ip étant erronée).

Les champs disponibles étant ( Adresse Ip de l'hôtes : 192.168.1.1 ; Nom hôte : www ; Nom de domaine : facebook.com). Il se trouve que cette solution a "marché" , puisque  la page en particulier n'était pas accessible, même cela n'indiquait pas spécialement que le site était bloqué par le firewall, mais bel et bien que la page n'était juste pas accessible.

Le cas unitaire ayant marché, j'ai donc essayé d'aller voir directement dans les fichiers du firewall via Tera term, pour modifier un ficher en particulier se trouvant dans /etc/hosts, dans lequel j'ai ajouter divers nom de domaine affilié à l'adresse 192.168.1.1. Bon, ça n'a pas marché, j'ai perdu internet et ai dut remettre une backup. Qui plus est j'ai crut lire quelque part que Ipfire ne prenait plus en compte dnsmasq. De plus, j'ai peur que cette technique bloque l'accès à tout le monde et ne tienne pas compte du  grade de la personne.

 

Je me rend bien compte que dit comme ça, ça fait un peu cafouillis, Je me ferais une joie d'ajouter des Screenshots, mais je ne suis pas sûre que ceux-ci donne plus de sens, qui plus est je ne voudrais pas "flood" ce topic d'un nombre incalculable de Screenshots comme j'ai put le faire en l'ouvrant.

 

Conclusion :

 

Ce Firewall semble assez complet, seulement il est vrai que  si il ne peut pas filtrer les sites https, cela risque d'être un gros problème, ce projet étant destiné à servir au seins d'organisme éducatif. On ne voudrait tout de même pas que des petits malins se balade un peu trop sur internet, bien qu'ils ne doivent pas se priver chez eux.

Cela fait un peu mal au cœur de l'admettre, mais nous envisagions déjà de passer sur un autre Firewall, pour ne pas perdre plus de temps et essayer au mieux de répondre au cahier des charges. Tout ne peut pas marcher du premier coup, nous en avons bien conscience et les personnes qui nous entourent aussi, enfin je l'espère.

L ' idée serait donc de repartir sur un firewall, opensource, gratuit et possiblement plus accessible aux novices. Seulement d'après nos recherches, il n'en existe pas tant que ça, en sachant que certains semble être passer payant entre temps.

Share this post


Link to post
Share on other sites

Je ne connais pas IpFire, je n'ai jamais bossé dessus.

Néanmoins, c'est un firewall avec un proxy, donc pas de raisons que ca ne fonctionne pas...

Je pense que ton problème vient de la configuration du firewall, et du mode de proxy.
 

J'ai trouvé ca rapidement, qui semble expliquer comment mettre en place un filtrage sur https :

Citation

 

1. Enable the Proxy (Not Transparent), Set the Proxy Port (Example: 8000), Enable the URL Filter, and set the language for the proxy error messages.
2. Go to Content filtering.  Download a Blacklist or list blocked domains under "Custom Blacklist" (Example: [www].facebook.com)
3. Go to Outgoing Firewall.  Set the Firewall Mode to 1. Click "Add Rule." Select Domain, Network Time Protocol, ipfire-https, and any other allowed protocols.
4. Create a New Rule, Set the source to "Source IP or Net" and fill the form entitled "Source IP or Net" to the range of the RED Interface's IP Address (EX 10.0.0.0/24). Set this rule to Active.
5. Set the last rule (Entitled DROP) under the rule list to YES and click the Floppy Disk Icon.

Now set your computer's proxy settings to use the IP and Port of the IPFire's green interface.
This configuration blocks anyone not using the proxy and filter's HTTPS websites using no interception of encrypted information.
Note:
Any blocked HTTPS website gives no error message, just a failed connection attempt.  This is Normal.

 

 

Je te laisse essayer et nous dire!

Share this post


Link to post
Share on other sites

Bonjour,

 

Dans le cas présent, pour les addons qui ne se lancent pas, as-tu testé de redémarré la VM ? sinon voir au niveau log, si ce n'est pas un souci de droit, voir d'espace disque.

Share this post


Link to post
Share on other sites

Bonjour ! 

 

@Pyrithe

Je reviens avec de bonnes nouvelles :D !

En suivant le tutoriel que vous m'aviez fournit ( je dois vous avouez que je l'avais déjà vue, mais je n'avais pas encore assez pris en main le logiciel pour le mettre en application), j'ai réussi a bloquer les requêtes https liées aux nom de domaine rentrés dans la blacklist manuelle ( je n'ai donc pas encore appliqué ceci a une blacklist complète, mais on croise les doigts ).

 

Je reprend donc la marche à suivre si jamais ceci peut intéresser certaines personnes avec des Screenshots spécifiques aux étapes. En plus c'est en français, c'est toujours plus simple lorsque c'est pas notre fort les langues étrangères.

 

Sachez que vous pouvez mettre l'interface graphique en français via Système -> Interface Graphique -> Ici vous avez le choix de la langue et aussi l'aspect de l'interface.

 

Step 1 : Réseau -> Proxy Web

Activer le proxy de manière non transparente. Mettre le port proxy : 800 ( Il me semble que c'est un paramètre de base). Activer le Filtre URL et choisissez le langage des messages d'erreurs lors de la tentative de connexion.

Step1.png.e92493194daa5be9027af154e331fb4d.png

 

Step 2 : Réseau -> Filtre de contenu

Ajouter à la liste noir vos nom de domaines a bloquer (example : facebook.com), activer cette liste en cochant le petit carré.

Step2.png.2a23e926f9268d4e629ee110847916a1.png

 

Step 3 : Pare-feu -> Groupes de pare-feu

Créer un groupes de service dans lequel vous sélectionnerez les divers protocoles que vous voulez laisser passer.Step3.png.249a3b34edf831694b9f4369cd3d8b93.png

 

Step 4: Pare-feu -> Règles de pare-feu

Vous aurez ici trois règles à créer :

 - La première a pour but d'octroyer aux utilisateurs du LAN ( interface verte) l'accès aux protocoles choisies auparavant.

- La seconde règles bloques tout les autres protocoles ( comprenant https ) de l'interface verte vers la rouge.

- La dernière règles permet seulement à une adresse ip en particulier d'avoir accès à tout les protocoles. Cette règles permet d'avoir toujours accès a l'interface web après la mise en place des deux autres règles. Sinon vous risqueriez d'être bloqué et bonjour la backup (Il me semble en plus que celle-ci doit être mise en place via l'interface web).

Le Screenshots des règles vous résume les détails techniques à rentrer dans vos règles.Step4.png.4283768701e721a07b7b3f720d984ff2.png

 

Step 5 : Faire passer votre navigateur via le proxy ( dans mon cas ceci correspond à l'adresse 192.168.1.1, soit l'adresse de l'interface verte).

 

Avec cette configuration, si le proxy n'est pas inscrit dans le navigateur, la recherche internet n'aboutit pas. Une fois le proxy intégré au navigateur, les noms de domaine précédemment rentrés seront bloqué.

Le problème étant qu'il faille agir sur tout les postes pour intégrer ce proxy au navigateur, chose qui n'est pas nécessaire avec un proxy transparent. En l'état cela semble fonctionnel, mais ce n'est pas la manière la plus simple pour intégrer ceci sur un gros réseau. Enfin je ne suis pas sûre que cela corresponde aux attentes du client, nous le rencontrerons mardi prochain, nous serons fixés comme ça :D.

 

@TheCyberSeb Alors concernant le problèmes des services qui ne souhaitent pas démarrer, je pense que ceci vient enfaîte de la mémoire vive que j'ai octroyé qui n'est pas suffisante. J'ai lut quelque part que 512 Mo était nécessaire pour faire tourner ces deux services, mais il semble qu'ils aient pris un peu plus d'ampleur. En augmentant la mémoire vive, j'ai réussi a démarrer un des deux services, mais l'autre semble ne pas vouloir se lancer. Seulement j'ai donné le maximum de mémoire disponible sur ma machine, je ressayerai d'installer tout ceci sur mon pc fixe qui dispose de plus de ressource :D !

 

Voila voila, je pense avoir fait le tour ^^'. Je vous remercie d'avoir porter un intérêt à mes diverses questions. Je reviendrai vers vous pour confirmer tout ce qui ne l'est pas encore et aussi si jamais nous bloquons autre part. Si jamais vous ou une personne tierce venez  à avoir des questions sur des manipulations que j'ai déjà put effectuer, n'hésitez pas je pense laisser les notifications activer ;) !

Share this post


Link to post
Share on other sites

Content que ca marche.

Puisque tu es encore étudiant, je vais quand même en rajouter une petite couche.

Une simple recherche t'as certainement mis sur la même piste que moi. Encore faut-il le faire, et surtout le tester.

Je ne le dis pas pour être chiant, mais parce que dans ta futur vie de pro, c'est vraiment la base. La recherche.

 

Pour le déploiement d'un gros réseau, pas de soucis.

Un gros réseau, ca veut dire AD. Et via l'AD, déployer des paramètres de proxy, c'est tout à fait faisable.

 

Bon courage pour la suite!

Share this post


Link to post
Share on other sites

Je rajouterai aussi que ce qui fait que ca fonctionne en transparent, visiblement c'est le PREROUTING du port 80.

Il faut appliquer aussi un PREROUTING sur le port 443 vers le bon port.

Je te laisse chercher, il y atout ce qu'il faut sur le net! ;)

Share this post


Link to post
Share on other sites

×
×
  • Create New...