Upload
others
View
42
Download
3
Embed Size (px)
Citation preview
Tutorial IPCOP + UrlFilter + BlockOutTraffic
IPCOP
I n s t a l l a t i o n I P C O P
1/ Boot sur le CD avec sélection options installation
claviersource logicieldisquette de configuration
2/ Recherche Carte Réseau pour le Réseau GREEN (LAN)
@ IP 192.168.10.99Masque 255.255.255.0
3/ Configurations
Clavier fr-latin1Heure Europe/Paris
4/ Configuration type Réseau
GREEN + REDConfiguration de la carte réseau pour le Réseau RED (WAN)
@ IP 81.80.xxx.xxxMasque 255.255.xxx.xxx
DNS Primaire 194.2.xxx.xxxDNS Secondaire 194.2.xxx.xxx
Passerelle 81.80.xxx.xxx
Désactiver DHCP
V1.0 / daniel.dls 1 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
5/ PassWord ROOT & ADMIN
Attention :
les caractères tapés n’apparaîtront pas et le curseur ne bougera pas
6/ Configuration terminée / Reboot
Vérification Installation
Depuis un poste du réseau local (GREEN), lancer IE et tester administration à distance :
https://192.168.10.99:445
A c t i v e r A c c è s S S H d a n s I P C O P
Système Accès SSH
Valider toutes les options
I P C O P / S e r v e u r M a n d a t a i r e
Activer Serveur Mandataire (Proxy)
Système de Détection des Intrusions : GREEN sortServeur TransparentRED sort
V1.0 / daniel.dls 2 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
O p t i o n s I n t e r n e t
OutilsOptions
Connexion Paramètres Réseau
Serveur ProxyAdresse 192.168.10.99 Port 800
sauf @IpCop
V1.0 / daniel.dls 3 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
P o r t 4 4 5 m o d i f i é e n 4 4 4 5
Modification du port d’écoute 445 en 4445 car ce port a été verrouillé par certains FAI (Sasser)Passer en mode console sur le poste IPCOP et se connecter avec le compte ROOT
Modifier le fichier /etc/httpd/conf/httpd.conf
Utiliser l'éditeur vi
Mode insertion Echap + A
ligne 23 (environ) "Listen 4445"
ligne 119 (environ) "VirtualHost_default_:4445"
Enregistrer Modif Echap + :wq
Modifier le fichier /var/ipcop/header.pl
Utiliser l'éditeur vi
Mode insertion Echap + A
ligne 171 (environ) "print "Location: https://$ENV…:4445/……";"
Enregistrer Modif Echap + :wq
Vérification Installation
Depuis un poste du réseau local (GREEN), lancer IE et tester administration à distance :
https://192.168.10.99:4445
V1.0 / daniel.dls 4 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
A u t o r i s a t i o n A d m i n i s t r a t i o n à d i s t a n c e
Créer une règle pour permettre l'administration à distance d'IPCOP
Pare-FeuAccés externes
Protocole TOUT Adresse IP Source TOUT Port Destination 4445
I n s t a l l a t i o n l o g i c i e l W i n S C P
Télécharger et installer WinSCP sur le poste depuis lequel vous administrez IPCOP afin de pouvoir transférer les futurs plugins
Host Name : 192.168.10.99Port Number : 222User Name : rootPassword : xxxxxx
http://winscp.net/download/winscp381setupintl.exe
Créer un repertoire plugins
/var/ipcop/plugins
On copiera dans ce répertoire les plugins que l'on rajoutera
V1.0 / daniel.dls 5 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
I n s t a l l a t i o n d ' U r l F i l t e r
http://www.urlfilter.net/download/ipcop-urlfilter-1.7.0.tar.gz
Copier l'archive téléchargée dans le répertoire créé /var/ipcop/plugins
Décompresser l'archive tar –zxvf [nom_du_plugin]
Depuis le répertoire du plugin ./install
Configuration
Activer le Filtrage d'URL dans Serveur Mandataire (proxy)
Puis dans :
ServicesFiltre d'URL
Activer Mode TransparentTaille du cache 1024 Mo
V1.0 / daniel.dls 6 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
Télécharger une BlackList
http://cri.univ-tlse1.fr/documentations/cache/squidguard.html
ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz
Paramétrer UrlFilter selon besoin. Exemple de configuration :
BlackLists personnalisées :
ces deux lignes bloquent l'exécution d'MSN Messenger
webmessenger.msn.comgateway.messenger.hotmail.com
WhiteListes personnalisée
Indiquer ici la liste des sites autorisés qui pourraient être éventuellement bloquées par la BlackList : doctissimo.fr , france5.fr
Activer les WhiteListes Personnalisées
V1.0 / daniel.dls 7 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
Paramétrages des pages bloquées :
Valider :
Afficher les catégories …Afficher l'URL …Afficher l'adresse IP …
Personnaliser le message si vous le souhaitez
ENREGISTRER et REDEMARRER
I n s t a l l a t i o n A d d o n s
Procéder de la même manière que pour les opérations précédentes avec l'archive téléchargée.
http://prdownloads.sourceforge.net/firewalladdons/addons-2.3-CLI-2.tar.gz?download
Attention : l'exécutable à lancer peut différer suivant le plugin à installer
V1.0 / daniel.dls 8 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
I n s t a l l a t i o n B l o c k O u t T r a f f i c
http://blockouttraffic.de/files/BlockOutTraffic-2.3-GUI-b4.tar.gz
Procéder de la même manière que pour les opérations précédentes avec l'archive téléchargée.
Attention à relever l'@ MAC du poste depuis lequel vous administrez IPCOP afin de configurer BlouckOutTraffic correctement
Règles à mettre en place afin d'autoriser les accés http, https, pop, smtp et ftp aux utlisateurs.
Ajouter deux nouveaux services
Règle concernant l'accès à IpCop proxy, Dns, Ntp, SSH
Activer BlockOutTraffic
V1.0 / daniel.dls 9 / 10
Tutorial IPCOP + UrlFilter + BlockOutTraffic
J O U R N A U X
Journaux du Filtre URL
Permet de consulter les pages bloquées. La catégorie indique le filtre qui a bloqué cette page et l'adresse Client, l'IP de la machine d'où la page a été demandée.
I N S T A L L A T I O N T E R M I N E E
V1.0 / daniel.dls 10 / 10