PROJET: pare feu IPCOP projet de fin de formation la mise en place d'un pare feu IPCOP SOUS LINUX

Sommaire
I. II. 123Introduction Presentation IPCOP Pourquoi un parfeu (firewall) ? Aperu Caractristique 4 - Fonctionnalits 4- Avances

Prparation l'installation Choisir la configuration IPcop

LES INTERFACES RESEAU DIPCop 1 Interface rseau ROUGE 2 - Interface rseau VERTE 3 - Interface rseau BLEUE 4 - Interface rseau ORANGE

Configurations rseau de base

Les types de la CONFIGURATIONS RESEAU DIPCop CHOISIR LES PLAGES D'ADRESSES DE VOS RESEAUX LOCAUX PARTIE IV : INSTALLATION DIPCop INSTALLATION CONFIGURATION DIPCop PARTIE V : ADMINISTRATION DIPCop Vue gnrale sur les services dIPCop

Configuration de quelques services Serveur DHCP Serveur de temps Serveur Mandataire (Proxy) DNS Dynamiques Conclusion

Introduction
Dans le cadre de la politique dadaptation de la formation professionnelle aux exigences du march de travail, PIMAS prend chaque anne des mesures visant lamlioration de la qualit de la formation dispense dans ces tablissements. Parmi ces mesures, linstitution des stages et la ralisation dun projet de fin de formation. au milieu professionnel sert au profit des stagiaires atteindre les objectifs prioritaires, dcouvrir le monde de travail, confronter les mthodes et les techniques enseignes avec la pratique en vigueur au sein de lentreprise, tablir une relation plus troite entre les tablissements de formation et leur environnement conomique en vue de rechercher la meilleure adaptation entre la formation et les besoins de march demploi, etc. Nulle personne ne peut nier donc lobligation dun projet pratique aprs une longue dure de formation thorique. Cest pour cela, il convient de signaler limportance de ce projet qui ressemble un fruit juteux plein dinformations et donnes, susceptible de mettre en uvre tout les concepts et les thories relatives aux matriaux et systmes informatiques. Puisque nous sommes des Techniciens Spcialiss en systmes et Rseaux Informatiques , au sein de lInstitut de Technologie et science Applique , et dans le cadre de la premire confrontation de la vie professionnelle, nous avons pu effectuer le projet de fin de formation, ce dernier pas de notre formation nous a permis dinvestiguer et dcouvrir le monde informatique. Autrement dit, notre projet est focalis essentiellement sur le thme, scuriser un rseau informatique par la distribution du pare-feu IP Cop linux .

Prsentation
1-Pourquoi un pare-feu( firewall )?
De nos jours, la plus part des entreprises possdent de nombreux postes informatiques qui sont en gnral relis entre eux par un rseau local. Ce rseau permet d'changer des donnes entre les divers collaborateurs internes l'entreprise et ainsi de travailler en quipe sur des projets communs. La possibilit de travail collaboratif apporte par un rseau local constitue un premier pas. L'tape suivante concerne le besoin d'ouverture du rseau local vers le monde extrieur, c'est dire Internet. En effet, une entreprise n'est jamais compltement ferme sur elle mme. Il est par exemple ncessaire de pouvoir partager des informations avec les clients de l'entreprise. Ouvrir l'entreprise vers le monde extrieur signifie aussi laisser une porte ouverte divers acteurs trangers. Cette porte peut tre utilise pour des actions qui, si elles ne sont pas contrles, peuvent nuire l'entreprise (piratage de donnes, destruction,...). Les mobiles pour effectuer de telles actions sont nombreux et varis : attaque visant le vol de donnes, passe-temps, ... Pour parer ces attaques, une architecture de rseau scurise est ncessaire. L'architecture devant tre mise en place doit comporter un composant essentiel qui est le firewall. Cet outil a pour but de scuriser au maximum le rseau local de l'entreprise, de dtecter les tentatives d'intrusion et d'y parer au mieux possible. Cela permet de rendre le rseau ouvert sur Internet beaucoup plus sr. De plus, il peut galement permettre de restreindre l'accs interne vers l'extrieur. En effet, des employs peuvent s'adonner des activits que l'entreprise ne cautionne pas, comme par exemple le partage de fichiers. En plaant un firewall limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir un contrle sur les activits se droulant dans son enceinte. Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permet d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il a t prvu. Tout ceci sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisation d'accder ce rseau de donnes.

Gnralement le pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un systme permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment internet). Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le rseau. Le filtrage se fait selon divers critres. Les plus courants sont : Lorigine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface rseau, etc.) ; Les options contenues dans les donnes (fragmentation, validit, etc.) ; Les donnes elles-mmes (taille, correspondance un motif, etc.) ; Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseaux externes. Il est possible de mettre un systme pare-feu sur n'importe quelle machine et avec n'importe quel systme pourvu que : La machine soit suffisamment puissante pour traiter le trafic. Le systme soit scuris. Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur. 2-Aperu IPCop est un pare-feu et il le restera. IPCop est *une distribution Linux spcialise, complte, adapte et prte protger vos rseaux informatiques. Elle est pour cela distribue sous les termes de la GNU General Public License : son code source peut tre tlcharg, valu et mme modifi. Elle peut tre entirement recompile par vos soins pour servir au mieux vos besoins personnels ou rpondre des impratifs de scurit particuliers. IPCop est une communaut dont les membres s'entraident avec le souci de toujours faire progresser le projet. Il peut s'agir d'expliquer des dbutants les bases des rseaux informatiques ou d'aider la personnalisation d'IPCop pour des besoins spcifiques tels que la tlphonie par Internet (VoIP) et l'implantation d'IPCop en entreprise. IPCop a t cr en rponse plusieurs besoins. Le premier d'entre eux tait le besoin d'une protection sre et efficace de nos rseaux qu'ils soient personnels ou d'entreprises. Lorsque le projet IPCop a t lanc en octobre 2001, il existait dj d'autres pare-feu. Mais l'quipe IPCop d'alors a considr qu'ils ne satisfaisaient pas deux autres des besoins prcdents : GPL et le sens de la communaut. Le groupe fondateur d'IPCop a alors dcid de partir du code de base

d'un pare-feu sous GPL et de faire les choses diffremment. L'objectif tait de remanier ce code pour se mettre l'coute des attentes de sa communaut d'utilisateurs. Parmi ces attentes se trouvaient celle de laisser chaque utilisateur la possibilit de crer son propre IPCop, celle de proposer et d'ajouter des amliorations et celle d'apprendre grce au travail des autres. C'est grce ces objectifs clairs, en tudiant l'existant et en coutant ses utilisateurs qu'IPCop a pu progresser et progresse toujours. Cette communaut permet IPCop de mrir et IPCop l'aide progresser. Aujourd'hui, aprs prs de deux ans et demi, la premire rvision majeure d'IPCop est publie. Avec elle, nombre de fonctionnalits intressantes ont t ajoutes : le support de quatre rseaux, la dtection d'intrusion sur tous les rseaux et une nouvelle interface encore plus pratique n'en sont que quelques exemples. Encore une fois, soyez les bienvenus dans IPCop !

3 -Caractristique Une distribution de pare-feu base sur Linux, stable, scurise et hautement configurable. Une administration facile depuis un navigateur par l'intgration d'un serveur web. Un client DHCP permettant ventuellement IPCop d'obtenir une adresse IP de votre FAI. Un serveur DHCP vous permettant de configurer facilement les machines de votre rseau interne. Un serveur mandataire DNS pour acclrer la rsolution des requtes de nom de domaine. Un serveur mandataire web (proxy) pour acclrer l'accs au web. Un systme de dtection d'intrusion pour identifier les attaques externes sur votre rseau. La possibilit de segmenter votre rseau en un rseau VERT, sr, protg de l'Internet ; un rseau BLEU pour votre rseau local WiFi ; et

un rseau ORANGE, zone dmilitarise ou DMZ en partie protge de l'Internet rassemblant vos serveurs publiquement accessibles. Une possibilit de VPN vous permettant de connecter ensemble plusieurs rseaux locaux par le rseau Internet pour ne former qu'un unique rseau logique ou d'intgrer vos PC sans fil du rseau BLEU votre rseau filaire VERT. La possibilit de rpartir votre bande passante (traffic shaping) par exemple pour fixer une priorit plus leve aux services interactifs tels que ssh ou Telnet, une priorit leve la navigation web mais une priorit faible aux services gourmands comme FTP. Un support amlior des VPN avec certificats x509. Un systme entirement compil avec ProPolice pour prvenir des attaques de type corruption de pile sur toutes les applications. Le choix entre quatre noyaux diffrents pour permettre une adaptation parfaite toutes les configurations. Il est la solution aux problmes soulevs plus haut entre autres. Mais l'atout majeur part sa licence libre GPL, c'est son adaptabilit en effet un ordinateur PC quip de 64 Mo de mmoire vive et d'un processeur 233 MHz suffit, un lecteur CD et de disquettes sont ncessaires durant la phase d'installation, bien sr en fonction de votre modem (USB ou cble) il vous faudra une prise USB (il existe des cartes PCI fournissant des interfaces USB bon march) ou des cartes rseau. Plus concrtement, IPCop va jouer le rle dintermdiaire entre un rseau considr comme non scuriser (Internet) et un rseau que lon souhaite scuriser (le rseau local par exemple), tout en fournissant des services permettant la gestion et le suivi de celui-ci. Pour se faire, un ordinateur muni de plusieurs cartes rseau sera Ncessaire. Alors que l'installation est la porte de toute personne possdant un minimum de notions en rseau IP et en systme Linux (adressage, Ping, commandes Shell de base), pas la peine donc d'tre un expert). Aprs l'installation d'IPCOP cette machine viendra se mettre entre le modem et les postes client assurant ainsi une protection et une gestion du trafic Internet. On pourra alors retirer l'cran et le clavier, car la gestion de cette "Passerelle" se fait depuis un poste client avec un navigateur, voir depuis n importe o sur l'Internet. Il existe aussi une carte mre (2d13) et une boitier(2d3et 2d13) adapt a ce firewall IPcop .

5-Fonctionnalits
En constante volution grce la communaut GNU/Linux qui corrige les bugs et ajoute de nouvelles Fonctionnalits appels aussi Add-ons Pare Feu (bien pr configur mais entirement paramtrable) : - Masquage rseau (les postes client ne sont pas visibles depuis le Net) - Systme de dtection d'intrusion (IDS): IPCop intgre un puissant systme de dtection d'intrusion nomm Snort. Il offre galement la possibilit de contrler les paquets rseau sur toutes les interfaces, il suffit de cocher ceci dans l'interface graphique systme de dtection des intrusions.

- Gestion de contenu et horaires d'accs 5- Avancs - Mise jour de l'heure depuis Internet et redistribution aux postes du rseau local - Proxy transparent (rien configurer sur les navigateurs) - QoS (lissage du trafic)

Prparation l'installation Choisir la configuration IPcop Interfaces rseau Quatre interfaces rseau sont dfinies par IPCop : ROUGE, VERTE, BLEUE et ORANGE. Vous aurez besoin d'au moins un cble Ethernet et une carte d'interface rseau. Dans la configuration la plus complte et dans le cas d'une connexion Internet par Ethernet, pas moins de quatre cartes seront ncessaires. Chaque carte rseau correspond une carte physique insrer dans la machine IPCop. Vous devez donc prvoir une carte et un cble rseau pour chacun des rseaux VERT, BLEU et/ou ORANGE de votre future configuration. Les rseaux VERT et ROUGE sont obligatoires. Les rseaux ORANGE et BLEU sont optionnels. Les besoins pour l'interface du rseau ROUGE dpendent du type de votre connexion l'Internet. Le rseau ROUGE peut ncessiter une carte rseau Ethernet et un cble supplmentaires.

Interface rseau ROUGE Ce rseau correspond l'Internet ou tout autre rseau considr non sr. Le but premier d'IPCop est de protger les autres rseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachs du trafic provenant de ce rseau ROUGE. Votre mthode de connexion et votre matriel actuel serviront la connexion ce rseau. Interface rseau VERTE Cette interface est relie aux ordinateurs qu'IPCop doit protger. Il s'agit en rgle gnrale d'un rseau local. Cette interface utilise une carte rseau Ethernet dans la machine IPCop. Interface rseau BLEUE Ce rseau optionnel vous permet de regrouper vos priphriques sans fil sur un rseau spar. Les ordinateurs de ce rseau ne peuvent accder au rseau VERT sauf par le biais d'oeilletons ( << pinholes >> ) volontairement tablis, ou par le biais d'un VPN. Cette interface utilise une carte rseau Ethernet dans la machine IPCop. Interface rseau ORANGE Ce rseau optionnel vous permet d'isoler sur un rseau spar vos serveurs accessibles au public. Les ordinateurs relis ce rseau ne peuvent accder au rseaux VERT ou BLEU, moins que vous n'tablissiez volontairement un oeilleton ( << DMZ pinholes >> ). Cette interface utilise une carte rseau Ethernet dans la machine IPCop.

Configurations rseau La configuration de base correspond une configuration ROUGE/VERT dans laquelle IPCop protge un unique rseau interne (VERT) de l'Internet (ROUGE). Si vous possdez un point d'accs WiFi, vous pouvez le connecter la carte rseau d'une interface BLEUE et demander IPCop de restreindre l'accs des machines

votre rseau local sans fil. Si vous possdez un ou plusieurs serveurs que vous souhaitez rendre accessible de l'Internet, vous pouvez les placer sur un rseau non sr, qualifi de DMZ ou zone dmilitarise, reli la carte rseau d'une interface ORANGE. Vous devez donc dcider ds maintenant de la combinaison d'interfaces dont vous souhaitez disposer pour votre installation
Les types de la configuration rseau IPcop

VERT (ROUGE est un modem/ISDN). VERT + ROUGE (ROUGE est en Ethernet)

VERT + ORANGE + ROUGE (ROUGE est en Ethernet).

VERT VERT VERT VERT VERT

+ + + + +

ORANGE (ROUGE est un modem/ISDN. BLEU + ROUGE (ROUGE est en Ethernet). BLEU (ROUGE est un modem/ISDN). BLEU + ORANGE + ROUGE (ROUGE est en Ethernet). BLEU + ORANGE (ROUGE est un modem/ISDN).

Choisir les plages d'adresses de vos rseaux locaux Vous devez choisir une plage d'adresses affecter votre rseau VERT
ou rseau local. Il ne s'agit pas de l'adresse IP fournie par votre FAI. Les adresses de ce rseau n'apparatront jamais sur Internent. IPCop utilise en effet une technique appele Port Address Translation, ou PAT, qui permet de cacher les machines du rseau VERT une personne regardant votre systme depuis l'Internet. Pour ne pas rencontrer de conflits d'adresses IP, il est recommand de choisir une des plages d'adresses dfinie dans RFC1918 comme plages d'adresses prives (non routables). Il existe plus de 65,000 plages diffrentes que vous pouvez choisir. Le plus simple et commun des rseaux utiliser est le rseau 192.168.1.xxx. Cela vous permet d'avoir un peu plus de 250 ordinateurs connects ensembles derrire votre IPCop. En gnral, les routeurs ou pare-feu se voient attribuer une adresse IP tout en haut ou tout en bas de la plage d'adresses IP du rseau qu'ils servent. Il est donc recommand de prendre l'adresse 192.168.1.1 pour l'interface VERTE de votre IPCop. IPCop va automatiquement adapter le masque de rseau l'adresse IP que vous lui indiquerez mais il vous est toujours possible d'en indiquer un autre. Si vous souhaitez disposer d'un rseau BLEU et/ou ORANGE, slectionnez des adresses rseaux diffrentes pour chacun d'eux. Par exemple, le rseau BLEU peut se voir attribuer les adresses en 192.168.2.xxx et ORANGE les adresses en 192.168.3.xxx. Encore un fois,

ces deux plages vous permettent de connecter un peu plus de 250 ordinateurs sur chaque rseau.

INSTALLATION
Placez le CD IPCop dans le lecteur de CD du PC IPCop. Si ncessaire, insrez la disquette de dmarrage d'IPCop dans le lecteur de disquette. Pressez le bouton reset pour redmarrer l'ordinateur. Si le PC IPCop ne dmarre pas, vrifiez les paramtres de dmarrage du BIOS. Rapidement, l'cran reprsent ci-dessous apparat. Si ce n'est pas le cas, vrifiez que le moniteur est bien branch la carte vido de la machine cible et qu'il est bien allum, que l'ordinateur a bien dmarr depuis le lecteur de CD ou le lecteur de disquette.

Cet cran vous avertit de la prochaine destruction des donnes du disque dur de la machine si vous poursuivez l'installation. Vous pouvez presser ici la touche Entre , ou choisir l'une des trois options d'installation nopcmcia , nousb ou nousborpcmcia . Ces

options d'installation rduisent les types de priphriques que le processus d'installation d'IPCop tente de dtecter. N'utilisez ces options que dans le cas o l'installation standard choue lors de l'identification des priphriques USB ou PCMCIA prsents sur la machine cible. Vous avez galement la possibilit d'jecter le support de dmarrage d'IPCop et relancer la machine pour annuler l'installation.

Lors du dmarrage, beaucoup de messages informatifs venant du noyau dfilent l'cran. Vous n'avez pas vous soucier de ces messages moins qu'un problme d au matriel ne survienne. Dans ce cas, la squence de dmarrage s'arrte. Aprs quelques secondes, l'cran permettant de slectionner la langue pour les botes de dialogue de la procdure d'installation est affich.

Actuellement, IPCop est disponible dans les langues suivantes en plus du franais : le portugais brsilien, le tchque, le danois, l'allemand, le grec, l'anglais, l'espagnol, le hongrois, l'italien, l'espagnol d'Amrique Latine (latino), le hollandais, le norvgien, le portugais, le finnois, le sudois et le turc. Remarque : sur cet cran comme sur tous les autres durant l'installation, la souris n'est pas active. Pour dplacer le curseur sur les lments l'cran, utilisez la touche Tab ainsi que les touches flches. Pour slectionner un lment, pressez la touche Espace . Pour accepter le choix d'une langue, pressez la touche Entre . partir de l, toutes les botes de dialogue, les menus et les pages web utilisent la langue choisie.

Cet cran vous indique comment abandonner l'installation d'IPCop : Slectionner Annuler sur l'un des crans suivants redmarrera votre ordinateur.

La bote de dialogue ci-dessus vous permet de slectionner le support d'installation. Dans la mesure o vous souhaitez installer depuis le CD-ROM, slectionnez la ligne CDROM, utilisez la touche de tabulation jusqu'au bouton Ok et pressez la touche Entre pour valider ce choix.

Il s'agit l du dernier avertissement avant l'effacement des donnes du disque dur. Aprs avoir slectionn le bouton Ok de cet cran et valid par la touche Entre , le disque dur de la machine sera effac. Pour stopper l'installation et ainsi viter la perte des donnes prsentes sur le disque, slectionnez plutot le bouton Annuler et validez ce choix en pressant la touche Entre .

IPCop va maintenant partitionner et formatter votre disque dur. la suite de quoi il installera sur ce disque les fichiers ncessaires.

ce moment, vous avez la possibilit de restaurer les fichiers de configuration d'IPCop depuis une disquette de sauvegarde.

Pour effectuer cette restauration, insrez la disquette de sauvegarde dans le lecteur de disquette et slectionnez le bouton Restaurer avant de presser la touche Entre . Sinon, slectionnez le bouton Passer et pressez la touche Entre pour valider. Si vous souhaitez restaurer la configuration de votre IPCop l'aide d'une sauvegarde provenant d'une version 1.2.0 ou postrieure, insrez la disquette de sauvegarde dans le lecteur. Cette fonctionnalit sert galement remettre rapidement sur pieds une installation d'IPCop endommage. Dans les faits, aprs avoir adapt IPCop vos besoins, il vous est possible de faire trs simplement une sauvegarde de cette configuration depuis l'interface web d'administration. En cas de problme sur votre installation, rinstallez IPCop en suivant la mme procdure que la premire fois et ce moment de l'installation, insrez la disquette de sauvegarde, slectionnez le bouton Restaurer de cette bote de dialogue. Votre prcdente configuration d'IPCop est alors restaure. En choisissant de restaurer une configuration depuis une disquette, vous n'aurez renseigner aucune autre bote de dialogue. L'installation d'IPCop se poursuit avec la configuration de la carte rseau de l'interface VERTE (rseau local). Vous pouvez laisser IPCop trouver votre carte rseau et dterminer les paramtres donner au pilote de priphrique. Slectionnez le bouton Rechercher et pressez la touche Entre pour laisser IPCop dtecter votre configuration matrielle. Slectionnez le bouton Slectionner et pressez la touche Entre pour choisir manuellement une carte rseau et ventuellement spcifier des paramtres. Ces paramtres correspondent aux donnes rcoltes prcdemment l'aide de la disquette fournie par le fabricant ou bien directement sur son site web.

Si vous choisissez le bouton Slectionner , l'cran suivant apparat.

Slectionnez dans la liste votre carte Ethernet utiliser pour le rseau VERT.

Si vous slectionnez MANUEL , l'cran suivant apparat. Entrez le nom du module pouvant prendre en charge votre carte. Vous aurez peut tre indiquer des paramtres additionnels pour ce module. Malheureusement, ces paramtres dpendent du pilote. L'exemple cidessous correspond au chargement du pilote de priphrique pour les cartes de type NE 2000. Comme la plupart des pilotes de cartes au format ISA, l'adresse E/S et l'interruption utilises par la carte doivent tre spcifies, respectivement l'aide des paramtres io= et irq= . ce moment de l'installation le clavier n'est pas reconnu comme une clavier disposition franaise des touches mais un clavier disposition qwerty .

Si vous choisissez le bouton Rechercher sur l'cran de configuration rseau, l'cran suivant apparat :

Le nom du fabricant de votre carte rseau peut ne pas apparatre dans cette liste. En effet, IPCop identifie les cartes rseau par le nom du fabricant du composant utilis par la carte, fabricant qui peut tre diffrent de celui de la carte. Ceci peut tre ignor.

Le processus d'installation vous demande d'indiquer l'adresse IP assigner l'interface VERT. Vous devez indiquer ici une des adresses du rseau trait prcdemment dans la section Choisir les plages d'adresses de vos rseaux locaux . En gnral, cette adresse du rseau VERT se termine par un 1, comme 192.168.1.1, ou par 254, comme 192.168.1.254. Mais n'importe quelle adresse du rseau VERT peut tre utilise. IPCop va automatiquement dterminer le masque de rseau en fonction de cette adresse IP mais il est possible de le modifier s'il ne vous convient pas.

Cet cran indique la fin de l'installation d'IPCop sur votre machine. Les composants d'IPCop ont t installs sur votre disque dur. Retirez le CD IPCop du lecteur de CD et, si elle est prsente, la disquette de dmarrage du lecteur de disquette. Slectionnez le bouton Ok pour continuer. Si vous avez choisi de restaurer une configuration depuis une disquette, l'installation est termine et l'ordinateur va redmarrer. Dans le cas contraire, la suite de la prparation de la machine est identique quelle que soit la technique de dmarrage employe. Suivez alors les instructions du chapitre suivant concernant la configuration initiale d'IPCop.

Configuration initiale
Quelle que soit la mthode suivie, l'installation se poursuit avec la mise en place d'une configuration initiale du systme. Si vous terminez cette procdure avant d'avoir assign un mot de passe l'utilisateur root, vous n'aurez par la suite pas la possibilit de vous identifier pour terminer cette configuration. Cependant il vous est toujours possible de redmarrer votre machine dans ce qui s'appele le mode <single user > pour ajouter un mot de passe l'utilisateur root. Voyez ce sujet la section Oubli/perte du mot de

passe root de ce manuel. Au redmarrage, identifiez-vous comme utilisateur << root >> et lancez la commande setup . Vous pourrez alors vrifier et modifier tous les paramtres de configuration de votre IPCop en visitant chaque lment du menu affich.

Le premier cran vous permet de configurer votre clavier.

L'cran suivant vous demande d'indiquer le fuseau horaire dans lequel vous vous situez. Certaines personnes conservent Londres ou UTC comme fuseau horaire pour la machine. Cela permet de laisser l'horloge matrielle de votre IPCop l'heure locale. Il y a cependant quelques inconvnients suivre cette mthode :

vous ne pourrez pas utiliser un serveur de temps pour talonner prcisment l'horloge de votre PC, service qui se lance depuis la page web d'administration de l'heure . dans le cas de zones avec heure d't et heure d'hiver, vous devrez vous souvenir qu'il vous faut modifier par vous-mme l'horloge de votre PC IPCop. l'inverse, si vous slectionnez le fuseau horaire correct, le changement d'heure est automatique.

Vous devez ensuite donner un nom d'hooe votre machine IPCop. La valeur propose par dfaut, < ipcop > , convient bien. Vous voudrez peut tre choisir un autre nom si vous envisagez de mettre en place un VPN et si vous envisagez d'administrer vos machines travers ce VPN. Auquel cas vous pouvez donner chaque machine IPCop un nom d'hote unique tel que <ipcop1 > , <ipcop2 > , < millie > , < steve > , < bob > , etc.

Vous devez maintenant donner un nom de domaine votre machine IPCop. Si vous possdez un nom de domaine, indiquez-le ici. Si vous n'en possdez pas ou si vous ne souhaitez pas l'utiliser, vous pouvez trs bien accepter la valeur par dfaut, < localdomaine> . Si vous envisagez de mettre en place un VPN, vous pourrez prfixer < localdomain > pour produire par exemple < x.localdomain > et < y.localdomain > . Donner ici votre vritable nom de domaine peut s'avrer tre une mauvaise ide moins que vous n'utilisiez votre serveur de nom personnel plutot que le serveur de nom propos par IPCop. Ce nom de domaine sera automatiquement utilis comme < suffixe de nom de domaine >du serveur DHCP. Reportez-vous au paragraphe concernant le serveur DHCP pour de plus amples informations.

La configuration d'IPCop se poursuit avec l'activation et la configuration de l'ISDN. L'cran suivant marque le dbut d'une srie de botes de dialogue vous permettant de faire prendre en compte votre carte ISDN. Si vous n'avez pas de carte ISDN, slectionnez le bouton Dsactiver ISDN , et la configuration initiale se poursuivra avec la configuration rseau .

Si vous possdez un modem ISDN, remplissez les champs protocole et pays.

Aprs avoir indiqu le protocole et le pays, vous pourrez avoir fournir des paramtres supplmentaires au pilote de votre carte, en particulier s'il s'agit d'une carte ISA. Si tel est le cas, choisissez Dfinition des paramtres additionnels du module .

Vous devez alors slectionner le type de votre carte ISDN. IPCop dterminera automatiquement le type de la carte si vous choisissez AUTODETECT . En cas d'chec, vous pourrez toujours le slectionner manuellement dans la liste propose.

La dernire tape de la configuration de la carte ISDN vous demande d'indiquer le numro de tlphone local.

Maintenant, vous devez configurer les interfaces rseaux de votre machine. Le Menu de configuration rseau vous guidera au travers de plusieurs tapes vous permettant de les faire reconnatre par IPCop.

Comme indiqu prcdemment , quatre interfaces rseaux sont disponibles sur IPCop : ROUGE, VERTE, BLEUE et ORANGE. L'interface ROUGE est relie au rseau considr hostile et peut tre de type Ethernet, modem ISDN, modem analogique ou bien encore modem ADSL USB. Cette bote de dialogue vous permet de choisir le type de configuration rseau qui convient votre installation. Lorsque vous slectionnez le bouton Ok , vous tes renvoy vers le Menu de configuration rseau dcrit prcdemment. Utilisez la touche de tabulation pour vous dplacer jusqu' la ligne Affectation des pilotes et des cartes et pressez la touche Entre . Si vous souhaitez avoir un rseau ORANGE et/ou un rseau BLEU, reprenez, pour chaque rseau, les tapes de slection du pilote de priphrique que vous avez suivies pour la configuration de l'interface VERTE . Si votre interface ROUGE utilise une connexion Ethernet, configurez galement sa carte rseau.

En revanche, si votre interface ROUGE n'utilise pas une connexion de type Ethernet, passez directement au paragraphe concernant le paramtrage d'interfaces rseaux additionnelles . Aprs avoir configur votre carte Ethernet et spcifi les pilotes de priphriques des autres interfaces, retournez au Menu de configuration rseau en choisissant le bouton Continuer .

Configuration des adresses des autres rseaux. Enfin, si votre rseau ROUGE est de type Ethernet, vous devez indiquer la manire par laquelle l'interface obtient son adresse IP. Ceci dpend de votre FAI et du type de connexion. L'adressage statique est utilis lorsque votre FAI vous fournit une adresse IP fixe. Saississez-la dans le champ d'adresse IP de la bote de dialogue. IPCop dterminera automatiquement le masque de rseau. Vous pouvez toujours modifier ce masque si ncessaire. Votre rseau ROUGE doit possder une adresse IP statique si vous envisagez d'utiliser la fonctionnalit d'aliasing propose par IPCop. DHCP correspond au cas o votre FAI vous indique que vous devez utiliser un adressage automatique.

La connexion certains FAI ncessite d'indiquer un nom d'hote leur serveur DHCP. Ce n'est trs probablement pas le nom d'hote de votre IPCop. Si ce nom d'hote est ncessaire, vous pouvez ventuellement utiliser la premire partie du nom de domaine pleinement qualifi que vous avez relev prcdemment lors de la rcupration des paramtres rseaux . Si votre connexion se fait par PPPOE, votre FAI fournira toutes les informations ncessaires la connexion de sorte que vous n'avez rien spcifier de plus aprs avoir slectionn cette mthode de connexion. Si votre connexion se fait par PPTP, vous devez indiquer l'adresse IP du rseau ROUGE ainsi que le masque de rseau, tout comme dans le cas d'un adressage statique. Cette adresse est trs frquemment 10.0.0.150 avec le masque rseau 255.255.255.0. Vous voudrez peut tre galement configurer une interface ORANGE ou BLEUE . La procdure est identique celle que vous avez suivie lors de la configuration de l'interface VERTE . Les adresses de ces interfaces doivent appartenir des rseaux diffrents, par exemple 192.168.1.1, 192.168.2.1 et 192.168.3.1. Vous pouvez mme ce moment revoir la configuration de votre interface VERTE en la slectionnant depuis la liste des interfaces. Quand vous en avez termin, choisissez le bouton Ok pour revenir au Menu de configuration rseau .

Configuration des serveurs DNS et des passerelles. Le choix suivant dans le Menu de configuration rseau vous permet d'indiquer les adresses des serveurs DNS de votre FAI et l'adresse de la passerelle par dfaut. Vous n'avez renseigner ces champs que si vous utilisez une adresse IP statique sur votre interface ROUGE. Si vous paramtrez votre IPCop pour une adresse IP statique sur l'interface ROUGE, vous devez indiquer les serveurs DNS et la passerelle par dfaut dans cette bote de dialogue. Si par la suite vous changez la mthode d'obtention de l'adresse IP de l'interface ROUGE, les serveurs indiqus sur cet cran remplaceront les serveurs fournis par votre FAI. D'un czt, c'est une faon simple d'imposer ces paramtres. D'un autre czt, c'est une source de confusion. Rappellezvous bien d'effacer ces valeurs s'il vous arrivait de changer de mode d'adressage pour l'interface ROUGE.

Vous pouvez maintenant configurer le serveur DHCP d'IPCop si vous voulez l'utiliser. Dans le cas contraire, n'activez pas le serveur et poursuivez avec la slection des mots de passe , ci-dessous. Le protocole DHCP (Dynamic Host Configuration Protocol) permet chaque ordinateur client d'obtenir au dmarrage les paramtres de configuration de leur interface pour s'intgrer au rseau. Vous pouvez retarder la configuration du serveur DHCP d'IPCop et y revenir la fin de l'installation. Vous devez cocher la case Activ pour activer le serveur DHCP. Les champs Adresse de dpart et Adresse de fin dfinissent une plage d'adresses que le serveur DHCP pourra attribuer aux ordinateurs clients qui en font la demande. N'utilisez pas toute la plage d'adresses disponibles sur votre rseau pour DHCP. Vous devez au moins exclure l'adresse de votre IPCop de cette plage. Vous voudrez peut tre, un moment ou un autre, placer sur votre rseau un ou plusieurs serveurs accessibles uniquement depuis votre rseau VERT. Qu'il s'agisse d'un serveur FTP, d'un serveur web, d'un serveur sendmail ou de tout autre serveur ncessitant une adresse IP permanente. Ces serveurs doivent se voir assigner des adresses IP fixes hors de la plage d'adresses dynamiques DHCP. Les adresses

limites d'une bonne plage peuvent par exemple tre 192.168.1.200 et 192.168.1.250. Ce qui vous permet d'avoir jusqu' 51 ordinateurs connects en mme temps sur votre rseau VERT. DHCP va galement indiquer un ou deux serveurs DNS que le client devra utiliser en plus de l'adresse IP. Si vous souhaitez utiliser le serveur DNS mandataire d'IPCop, le premier de ces serveurs doit correspondre votre IPCop. Vous pouvez ventuellement donner l'adresse d'un second serveur DNS. Si vous ne souhaitez pas utiliser le serveur DNS mandataire d'IPCop et que vous utilisez une adresse IP statique comme adresse de l'interface ROUGE, indiquez le mme serveur DNS que lors de la configuration de l'interface ROUGE. DHCP fonctionne en distribuant des baux d'adresses dynamiques qui expirent la fin d'un certain dlai. Le champ Bail par dfaut indique la dure en minutes du bail autoris par dfaut par le serveur. Au bout de ce temps, l'ordinateur client devra demander renouveller son bail pour l'adresse qu'il a prcdemment obtenue. Lorsque la dure Bail maximum est dpasse, l'ordinateur client ne peut plus demander rutiliser cette adresse, mais le serveur peut toujours lui assigner un nouveau bail sur l'adresse obtenue. Enfin, le champ Suffixe de nom de domaine vous permet de spcifier un suffixe ajout automatiquement aux requtes DNS si le nom initial n'est pas trouv. Ce suffixe prend par dfaut le nom de domaine que vous avez indiqu prcdemment . Nombreux sont les FAI qui utilisent un suffixe de nom de domaine et demandent leurs abonns d'entrer seulement << mail >> , << news >> , ou << www >> pour accder ces services. Ce qui se passe rellement, sous le capot, c'est qu'une requte DNS est d'abord envoye pour << mail >> . Lorsque le serveur DNS rpond qu'il ne connat pas d'adresse IP pour mail, une nouvelle requte est envoye avec le suffixe de nom de domaine ajout, ce qui donne par exemple << mail.xxx.yyy.zzz.com >> . Pour vous simplifier la vie, vous pouvez indiquer ici ce suffixe. Malheureusement, certains suffixes de nom de domaine sont trop longs pour tre saisis dans ce champ. Voyez alors le Manuel d'Administration pour connatre une autre manire de spcifier ce suffixe sans limitation de longueur. Lorsque vous en avez termin avec le paramtrage du serveur DHCP, choisissez le bouton Ok .

L'tape suivante consiste renseigner les mots de passe de l'utilisateur root et de l'administrateur web. Si vous tes un habitu des systmes Linux, vous voudrez sans doute vous identifier sur la machine IPCop pour les oprations de maintenance. Le seul utilisateur disponible est << root >> . Entrez deux fois le mot de passe de root. Comprenez bien que l'utilisateur root du systme dtient les << clefs du royaume >> sur votre parefeu. Si quelqu'un de mal intentionn venait se procurer ce mot de passe, il pourrait faire toutes sortes de dgts sur la machine. Toutefois, par dfaut, l'utilisateur root n'est autoris se connecter la machine que par la console. Vous noterez que le curseur ne bouge pas lorsque vous tapez le mot de passe. Il est nanmoins bien pris en compte.

Pour finir, le processus de configuration vous demande de donner un mot de passe l'utilisateur web admin. Cet identifiant et ce mot de passe vous seront demands lors de l'accs aux pages web d'administration d'IPCop. Les navigateurs web ne grent pas toujours correctement les caractres spciaux dans les mots de passe. Donc, la diffrence du mot de passe de l'utilisateur root, il est recommand de ne composer celui d'admin que de caractres alphanumriques minuscules.

Flicitations !
L'installation de votre IPCop est maintenant termine. Pressez le bouton Ok pour redmarrer. Au redmarrage de la machine, vous devrez trs certainement parfaire le paramtrage de votre IPCop depuis l'interface web d'administration. Pour une description complte de l'administration d'IPCop,