Installation d’IPFIRE

ANNEXE A : INSTALLATION IPFIRE

Création de la machine virtuelle

Choisir l’assistant personnalisé (custom) Laisser la compatibilité par défaut

Choisir la 3ème option : « J’installerai le système Vous pouvez sélectionner Linux / Debian comme
d’exploitation plus tard ». type de système d’exploitation invité.
Nommer la machine s e l o n l e s s t a n d a r d s Laisser le nombre de processeurs proposé par
défaut.

Adapter la taille mémoire à votre machine Utiliser « bridgé » comme type de connexion pour
physique : 1024 MB c’est bien, mais on peut la 1ère carte. Ce sera l’interface utilisée pour simuler
descendre à 512 MO si nécessaire. la connexion à Internet.
Laisser la proposition recommandée pour le Il s’agit bien d’un nouveau disque (1ère option,
contrôleur de disque sélectionnée par défaut)

Laisser la proposition recommandée pour le type de La taille proposée par défaut (8.0 GB) est largement
disque (SCSCI) suffisante. Sélectionner l’option « un seul fichier
pour le disque virtuel ».
NE PAS ALLOUER tout l’espace disque
immédiatement, ce serait contre-productif.
Laisser le nom de fichier disque proposé par défaut Cliquer sur « Finish » pour terminer la préparation
de la machine virtuelle.

Paramétrage de la machine virtuelle

Avant de démarrer la machine, il nous faut la « customiser » un minimum :

- Brancher le CD-ROM sur l’image du système IP-FIRE (vous la trouverez dans le sous-
répertoire ISO)
- Ajouter des cartes réseau, pour permettre au pare-feu d’être relié au réseau local et la
zone DMZ.
- Accéder aux « Settings » de la machine virtuelle que vous venez de créer et sélectionner
l’ISO.
Ajouter ensuite 2 cartes réseau en suivant les étapes suivantes :

Cliquer sur « Add.. » pour ajouter un matériel. Choisir « Network Adapter » (Interface réseau)
comme type de matériel.

Sélectionner un réseau virtuel spécifique et choisir Recommencer les étapes précédentes pour ajouter
VMnet2 pour la 2ème carte ajoutée. la 3ème carte, mais choisir de la raccorder au
VMnet3.
Ce VMnet correspondra au LAN (réseau local).
Ce VMnet correspondra à la DMZ.
 Installation du système
Démarrer la machine virtuelle. Elle devrait booter sur le CD-ROM correspondant à l’ISO IPFIRE
sélectionnée. Vous devriez obtenir l’écran d’accueil ci-dessous.

Appuyer sur <Entrée> pour lancer l’installation. Le lancement de l’installation s’effectue

Choisir la langue Français. Valider le message d’avertissement (après l’avoir lu)

NB : Pour sélectionner l’option « J’accepte les

termes de cette licence » utiliser la touche Espace.
Accepter la licence, puis valider en sélectionnant OK Un message d’avertissement signale la préparation
du disque (sda = 1er disque). Sélectionner oui.
Accepter le système de fichiers proposé (Ext4) Laisser l’installation se dérouler. Cela prend
quelques instants.

Avant de redémarrer, ou bien juste après, il faut vérifier les adresses MAC affectées aux différentes
interfaces, parce que c’est la seule façon de les distinguer.

Cliquer successivement sur les 3 icônes

représentant les cartes réseau pour
récupérer l’adresse. MAC.

Noter l’URL par laquelle vous pourrez accéder à l’interface de

configuration, surtout le port (444).
 Vérification des interfaces

Noter l’adresse MAC associée à chaque carte, avant de redémarrer en

cliquant sur l’icône de la carte réseau, et en choisissant « Settings… ».
Noter l’adresse MAC pour chaque carte.
Carte 1 (Bridged)  Connexion internet (Red)
Carte 2 (VMnet2)  Connexion LAN (Green)
Carte 3 (VMnet3)  Connexion DMZ (Orange)

Pour connaître l’adresse MAC d’une carte, procéder ainsi :

Sélectionner la carte, puis cliquer sur « Advanced… » Repérer la MAC Address et notez la
(au moins les 4 derniers symboles)

Configuration d’IPFIRE
La configuration du pare-feu se fait après redémarrage.
Valider le choix proposé Sélectionner « fr-latin9 » comme type de clavier

Choisir « Europe/Paris » comme fuseau horaire Donner « XX-IPFIRE » comme nom d’hôte
(XX étant vos initiales)

Le domaine a peu d’importance. Entrer le mot de passe suivant : ROOT

Suggestion : « maferme.sio » NB : rien ne s’affiche quand vous le tapez,
c’estnormal. Une fois validé une 1ère fois, il faut
le confirmer sur la ligne en-dessous.

Il faut également un mot de passe pour le compte Il faut ensuite configurer la machine d’un point de
admin qui sera utilisé pour l’administration via vue réseau. Il y 4 options à configurer.
l’interface HTTP. La 1ère est le type de configuration réseau ; valider
Entrez le mot de passe « ADMIN » en majuscules. cette 1ère option pour accéder à cet élément de
configuration.
Choisir la configuration correspondant à notre Il faut ensuite attribuer une carte à chaque
besoin : GREEN – RED – ORANGE. « couleur » de zone.
VERT = LAN - ROUGE = Internet - ORANGE = DMZ

Choisir la carte 1ère interface (verte) … Lui affecter la carte associée au LAN,
(utiliser l’adresse MAC pour la choisir)

Choisir ensuite la 2ème interface (RED) … … Pour lui associer la carte « bridgée » sur la carte
réelle de la machine hôte, censée représenter
l’Internet.
Procéder de même pour l’interface ORANGE Il ne vous reste normalement qu’une seule carte,
celle associée au vmnet3

Sélectionner le bouton « Terminé » On passe ensuite à la configuration IP des

interfaces.

La carte verte (LAN) pour commencer Un message d’avertissement s’affiche. Lisez-le puis
cliquer sur OK
L’adresse de l’interface sur le réseau GREEN (LAN) On passe ensuite à l’interface « ORANGE » …
sera obligatoirement 10.0.xxx.17, avec un masque
de 255.255.255.0.

L’adresse de l’interface sur le réseau ORANGE On termina par l’interface « RED » …

(DMZ) sera obligatoirement 10.0.xxx.1, avec un … autrement dit celle du « pseudo-internet ».
masque de 255.255.255.0.

Elle devrait être configurée en dynamique, comme La configuration des interfaces est terminée.
c’est généralement le cas si on obtient l’adresse Sélectionner donc « Terminé »
publiqued’un FAI…mais pas pour nous.
Nous, c’est une IP dans le «VLAN » avec la passerelle
opérationnelle
Donc, 172.28.xxx.253 et 172.28.xxx.254
Il reste les paramètres DHCP et DNS et de passerelle, L’installation est enfin terminée !
si on souhaite les définir de manière statique.
La configuration d’un serveur DHCP sur le réseau
local (LAN). Activer avec la touche espace.
On va l’utiliser pour le client UBUNTU situé dans le
LAN, donc indiquer :
- une adresse de début de plage : 10.0.xxx.21
- une adresse de fin de plage : 10.0.xxx.30
- un serveur DNS de google…(W.X.Y.Z)
 ANNEXE B : TEST du PARAMETRAGE par DEFAUT d’IPFIRE
Démarrage d’IPFIRE
Lorsqu’IPFIRE redémarre, après configuration, vous
obtenez l’écran ci-dessus. Il n’est pas nécessaire
de se connecter en temps normal directement sur la
machine.
En effet, la configuration des règles de pare-feu ne
se fait pas directement sur la machine, mais via une
interface HTTP comme nous le verrons ci-après.
Toutefois, vous pouvez vous connecter, si besoin,
par exemple pour vérifier les adresses des
différentes interfaces en cas de dysfonctionnement.

Ci-dessous l’administrateur s’est connecté (root / ROOT) et a lancé la commande ip addr pour
visualiser les adresses des interfaces, clairement identifiées par leur nom (red0, green0, orange0)

Connexion sur le client situé dans le LAN

Prenez n’importe quelle machine aujourd’hui dans votre VLANXXX et placer la dans votre LANXXX
Et constatez qu’elle accède bien à l’internet.

Accès à la page d’administration d’IPFIRE

L’accès à la page d’administration se fait par le l’URL donnée en fin d’installation : https://ipfire:444
On remplace ipfire par l’adresse IP du pare-feu côté LAN, dans notre configuration : 10.0.xxx.17
Si on oublie https (pour une connexion sécurisée), Comme le certificat assurant la connexion sécurisée
un message plus ou moins explicite s’affiche. n’est pas un certificat officiel, garanti par un tiers de
confiance, un message d’avertissement s’affiche.
Un mot de passe est ensuite requis : il s’agit du
Cliquer sur « I Unterstand the Risks » …
compte admin, comme indiqué lors de l’installation.

Si l’authentification réussit, vous devriez obtenir la page web suivante :

Accès à L’internet depuis LAN

Depuis le navigateur du client présent sur le LAN,

l’accès Internet devrait être possible.

Accès à une machine dans la DMZ depuis le LAN

Dans le navigateur du client présent sur le LAN, il est facile de vérifier l’accès au serveur présent dans la
DMZ depuis le LAN.
L’accès au serveur HTTP présent dans la DMZ est
bien opérationnel depuis le LAN.
Si ce n’est pas le cas :
 Vérifiez que la communication est possible
via un ping. (ping de la passerelle, ping du
serveur)
 Vérifier la bonne configuration du client ou
du serveur