LINUXIDABLE ==> IPCOP

IPCOP le "Routeur-Pare Feu Libre"

1. Modem USB, après le choix GREEN, passez à l’affectation des pilotes et des cartes, utilisez la détection automatique de la carte réseau, et attribuiez lui une adresse IP et un masque réseau par exp : IP 192.168.0.x, masque : 255.255.255.0 (1
   
2. Modem câble et IP fixe (ex : FreeBox) : pour RED , choisir le mode DHCP ( automatique ) et pour GREEN configurer comme pour le cas 1
   
   
3. Modem câble et IP Dynamique, il faut deux cartes réseaux, essayez de les détecter avec IPCOP, attribuiez l’une des cartes à l’interface Rouge, et configurez la deuxième carte comme dans le cas 1, sachant que l’interface Rouge sera elle aussi configuré dans l’interface Web de IPCOP.
   
   

Remarques personnelles :
Créer une disquette de sauvegarde est la première chose à faire lorsque Ipcop est fonctionnel !
La sauvegarde : Menu « Système-->Sauvegarde »lorsqu’on a terminé la configuration ( Hard : carte réseau, modem,… et soft : Ipcop Addons…) et que la connexion Internet fonctionne, on à la possibilité de sauvegarder la configuration à un emplacement spécifié, ou sur une disquette insérée dans la machine IPCOP, l’avantage de la disquette est que lors de l’installation/ré installation de Ipcop, celui ci demande si on possède une disquette de restauration des paramètres, on peut donc à n'importe quel moment réinstaller le système ( 15 mn ) sans avoir à tout reconfigurer ou presque

Le système Linux pouvant accéder au BIOS, pour modifier l’heure, ou protéger le lecteur de disquettes contre l’écriture (write protected ) donc impossible de formater ni de sauvegarder ! j’ai dû retourner sur le bios pour ré activer l’écriture ! (beaucoup de Google et de forum Ixus.net pour trouver la cause :-))


En fonction du but fixé, l’administration de votre « routeur / pare feu » IPCOP peut être simple, et ne requière guère de maintenance une fois les « règles » fixées, en effet vous avez à démarrer IPCOP pour lancer la connexion, l’éteindre via l’interface web, surveiller l’espace disque de temps à autre ( notamment si vous utilisez le proxy Squid) … Mais un utilisateur averti dispose de plusieurs outils pour paramètres un certain nombre d’options et de règles.


Maintenance minimum sous IPCOP :


1. Vérifier la connexion à Internet
L’écran principal de l’interface web (Système à Accueil ) vous informa de l’état de la connexion à Internet en rouge est indiqué la durée de connexion ( d : jours, h : heures ; m : minutes, secondes ) l’adresse IP publique attribué par votre FAI, et dans certains cas (modem USB, connexion RTC…) les vitesses de réception ( Rx ) et de transmission (Tx). Pour que la connexion soit lancée au démarrage de IPCOP, cochez le case correspondante dans « Réseaux --> connexion » pour cela il faut en premier arrêter la connexion ( bouton « déconnecter » de la page principale )

2. Activer / désactiver quelques services ( PROXY, NTP, IDS,…)
Dans le menu « Services » vous pouvez :
-Serveur mandataire (proxy): activer le serveur proxy Squid, pour mettre en cache les sites visités et ainsi réduire le temps d’accès, en ajoutant l’addon SquiGuard ( voir plus loin) on peut gérer le contenu (control parental ) et les horaires d’accès .
-Serveur DHCP : pour attribuer automatiquement les paramètres de connexion (IP, masque, passerelle…)
-Dns dynamique : c’est un client qui met à jour votre IP publique, chez un fournisseur de nom de domaine comme dyndns.org (voir sites proposés dans l’interface ) utile pour ceux ne disposant pas d’une adresse IP fixe. (cf. DNS Dynamique)
-Hôtes statiques : pour inscrire les noms de machines du réseau (DNS local)
-Serveur de temps NTP : permet la mise à jour de l’heure depuis Internet, et la redistribue aux machines du réseau ( le poste client doit être configuré évidemment )
-Lissage du trafic QoS : qualité de service (utilisation avancée)
-Détection d intrusions IDS : basé sur des règles d’attaque, SNORT donne un rapport des tentatives d’intrusion rejetées (s’inscrire gratuitement sur le site pour obtenir les mises à jour des règles SNORT.ORG)

3. Consulter les fichiers journaux ( rapports ipcop )
Notamment les journaux système pour vérifier le bon déroulement du démarrage, l’enregistrement de votre IP chez le fournisseur de nom de domaine, etc…
Les journaux du pare feu, et du détecteur d’intrusion…destiné au utilisateurs experimentés

4. Accéder à la passerelle pour la maintenance (PuTTY et Winscp depuis Windows et ssh et fish pour Linux )
Sous Windows : Ouvrir un terminal distant avec PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html


Un minimum de connaissance du système Linux et de son environnement ( principales commandes ) sont nécessaires, une fois sous la console vous pouvez taper « setup » pour accéder à la configuration d’Ipcop (utilisateurs experimentés), halt, reboot, pour arrêter, redémarrer Ipcop, df –m pour connaître l’occupation de l’espace disque dur, etc…

Transférer avec Winscp : http://winscp.net/eng/download.php





Sous Linux :
La distribution utilisé doit comporter le client Open-SSH, et le protocole FISH inclus dans Konqueror (KDE), pour se connecter, lancez un terminal et tapez à l’invite «ssh –lroot –p222 Adresse_Ipcop» validez et entrez le mot de passe root.Pour le transfert de fichiers ouvrez Konqueror et dans la barre d’adresses saisir «fish://root@adresse_Ipcop :222» là aussi saisir le mot de passe, ensuite vous pouvez transférer les fichiers avec un simple copier coller.

5. Administrer Ipcop depuis Internet

Le changement du port d’écoute d’Ipcop est nécessaire uniquement pour la gestion depuis l’extérieur, ce qui représente une brèche pour les intrus prévoyez un mot de passe conséquent.

Restrictions des FAI :
En effet le port 445 propre à Ipcop est désactivé par défaut chez les fournisseur d’accès et notamment pour empêcher la propagation de certains vers. Pour y remédier voici comment changer le port d’écoute par défaut d’Ipcop :

Modifier (en l’éditant avec Winscp ou sous VI avec PuTTY) la valeur "445" par celle de votre choix (exemple 4445) :
- à 2 endroits dans le fichier /etc/httpd/conf/httpd.conf --> ligne 23 Code: "Listen 4445",et ligne 113 Code: "VirtualHost_default_:4445"
- et à 1 seul endroit dans le fichier /var/ipcop/header.pl --> ligne 48 Code : "print "Location:https://$ENV{'SERVER_ADDR'}:4445/$ENV{'PATH_INFO'}\r\n\r\n";"
Penser à rebooter ipcop pour prendre en compte les changements.
Maintenant pour accéder à Ipcop il faut taper : https://adresse_IP:4445, pour y accéder depuis Internet il faut ajouter une règle dans « Pare Feu --> Accès Externe »



Après avoir choisi un fournisseur de nom de domaine gratuit ( consultez la liste proposée par IPCOP onglet servicesà DNS Dynamique ) et obtenu un nom du type : mondomaine.dyndns.org ainsi qu’un nom d’utilisateur et mot de passe ( inscription gratuite ), saisissez « mondomaine » dans « nom d’hôte » et « dyndns.org » dans « domaine », puis l’utilisateur et le mot de passe.
Maintenant votre passerelle IPCOP est accessible depuis le Net avec l’adresse « mondomaine.dyndns.org » pour le tester un simple ping mondomaine.dyndns.org devrait vous retourner votre IP publique.





Maintenant tout internaute peut accéder au serveur situé derrière Ipcop. Exemple : http://mondomaine.dyndns.org pour le serveur web