La Configuration Parfaite de La Passerelle Zentyal
22
La configuration parfaite de la passerelle Zentyal 1. Présentation Zentyal est un serveur Linux SMB (Small and Medium Business), il vous permet de gérer tous vos services de réseau à travers une seule plateforme. Zentyal peut etre configurer comme une passerelle réseau, une infrastructure, UTM (Unified Threat Manager), ou un Office Communications Server. Toutes ces fonctionnalités sont totalement intégrées et faciles à configurer, il permet un vrai gain de temps aux administrateurs système. Dans ce tutoriel, vous allez voir comment mettre en place Zentyal configuré comme passerelle. Zentyal fournira l'infrastructure réseau de base, l'équilibrage de charge entre deux fournisseurs d'accès Internet, pare-feu et la mise en cache proxy HTTP et le filtrage de contenu. Toutes ces étapes sont bien expliquées dans la documentation Zentyal, dont le lecture est vivement recommandée. Noter que pour configurer une passerelle votre machine devra être équipé d’au moins 2 interfaces réseaux physique (2 ethernet ou 1 ethernet et 1 wifi) Dans ce tutorial, nous utiliserons le modèle suivant:
Transcript of La Configuration Parfaite de La Passerelle Zentyal
La configuration parfaite de la passerelle Zentyal 1. Présentation
Zentyal est un serveur Linux SMB (Small and Medium Business), il vous permet de gérer tous vos services de réseau à travers une seule plateforme. Zentyal peut etre configurer comme une passerelle réseau, une infrastructure, UTM (Unified Threat Manager), ou un Office Communications Server. Toutes ces fonctionnalités sont totalement intégrées et faciles à configurer, il permet un vrai gain de temps aux administrateurs système.
Dans ce tutoriel, vous allez voir comment mettre en place Zentyal configuré comme passerelle. Zentyal fournira l'infrastructure réseau de base, l'équilibrage de charge entre deux fournisseurs d'accès Internet, pare-feu et la mise en cache proxy HTTP et le filtrage de contenu. Toutes ces étapes sont bien expliquées dans la documentation Zentyal, dont le lecture est vivement recommandée.
Noter que pour configurer une passerelle votre machine devra être équipé d’au moins 2 interfaces réseaux physique (2 ethernet ou 1 ethernet et 1 wifi)
Dans ce tutorial, nous utiliserons le modèle suivant:
2. Installation Zentyal tourne sur Ubuntu Server 10.04 afin qu'il fonctionne sur le même matériel. Vous pouvez jeter un oeil à la page matérielle Ubuntu-certifié pour plus d'informations. Il y a deux façons d'installer Zentyal:
1. En utilisant l'installateur Zentyal que vous pouvez télécharger à partir du site Web du projet . C'est le choix recommandé, il comprend toutes les dépendances de package pour l'installation hors ligne et permet également une configuration personnalisée.
2. Installez les paquets Zentyal sur Ubuntu Server 10.04, vous pouvez trouver les informations détaillées et l'URL du référentiel dans le Guide d'installation Zentyal .
Si vous installez Zentyal utilisant l'installateur, vous verrez cet écran lors du démarrage à partir du CD-ROM, l’installateur vous guidera tout au long du processus. Vous pouvez choisir les paramètres par défaut dans le mode expert egalement..
Noter que Zentyal peut etre également installer comme une machine virtuelle. L’équipe zentyal fourni les image pour VirtualBox, vmware, ou encore KVM.
Zentyal fournit une interface web d'administration, laquelle sera accessible depuis n’importe quel poste de votre réseau interne (et externe après l’ouverture du port dans le parefeu) à condition d’utiliser Google Chrome ou Firefox (l’adresse du serveur Zentyal sera de la forme https://adresseipduserveurzentyal/)
. Le nom d'utilisateur et le mot de passe sont les mêmes que vous avez saisie lors de l'installation.
Maintenant nous pouvons sélectionner les paquets que vous souhaitez installer. Pour ce tutoriel, nous allons installer les paquets correspondant à la passerelle. Nous installerons plus tard les modules DHCP et DNS en utilisant le module de gestion des logiciels.
Après cette étape tous les packages nécessaires à la configuration de la passerelle sont installés.
L’installation vous guide à travers des assistants de configuration pour les modules venant d’être installés, dans ce cas, les interfaces réseaux et le serveur LDAP. Nous pouvons ignorer la configuration du réseau pour
l'instant.
Pour le module de configuration LDAP, nous choisirons la méthode d’installation d’un serveru autonome. Notez que Zentyal sera capable d’etre un serveur Esclave d’un autre serveur Zentyal ou encore, esclave d’un serveur Windows Active Directory. Nous verrons ces configuations avancées dans un autre tutoriel.
La passerelle Zentyal est maintenant installée. En suivant les étapes suivantes, vous allez configurer chaque module.
3. Réseau Comme indiqué dans le scénario, vous devez configurer trois interfaces réseau, deux pour les routeurs externes et une pour le réseau interne. Zentyal permettra d'équilibrer le trafic entre les deux connexions Internet. Vous pourrez toutes fois n’utiliser qu’un seul routeur externe ou utliser directement l’adresse ip publique de votre FAI, si votre box vous le permet. Si vous n’utilisez qu’une seule interface externe, vous ne pourrez configurer ni basculement, ni à l’équilibrage de la charge.
3.1. Interfaces Aller à la Réseau -> Interfaces et configurer chaque interface en saisisant son adresse IP et le masque. Ne pas oublier de cocher les interfaces externes car Zentyal utilise cette info dans les règles de pare-feu. Dans l'image suivante vous pouvez voir la configuration d’une interfaces externes et interne.
3.2. Passerelles et l'équilibrage de charge Maintenant que il vous faut mettre en place deux passerelles dans le tableau des passerelles (Réseau -> Passerelles).
Si vous n’avez qu’une seul interface externe vous pouvez passer ce paragraphe.
Aller dans Réseau - Trafic> Balance pour permettre l'équilibrage de charge entre les passerelles.
3.3. Basculement Le Serveur Zentyal permet de faire un basculement sur les passerelles. Si l'une des passerelles ne fonctionne plus, elle sera détectée et le trafic passera par l'autre. Ceci garantit une connexion Internet toujours active (sauf si les deux passerelles sont hors service au même moment).
Pour configurer le basculement, le module Events doit être activé (dans état des modules). Vous devez également activer le WAN Failover dans la rubrique événements. Enfin, vous devez ajouter des règles de contrôle de la connectivité. L’Événement de basculement (Failover) les utiliserera pour détecter l'état du lien cassé ( Réseau -> WAN Failover ):
Ping vers la passerelle vérifie si la passerelle fonctionne, mais pas la connexion Internet elle-même,
Ping à un hôte externe permet de tester la connectivité rapidement,
le test de la résolution DNS est un peu plus lent, mais il vérifie comme son nom l’indique la résolution DNS,
et le dernier, HTTP à la demande va faire une demande complète à une page Web, il est plus complet mais aussi plus lent.
Avec cette configuration Zentyal pinguera l’adresse 8.8.8.8 toutes les 30 secondes. Si deux pings ou plus échouent pour une passerelle, elle sera désactivée. Lorsque la passerelle récuperera les pings, elle sera de nouveau activée. Aucun de ces événements n’auront une incidence sur la connectivité des utilisateurs finaux. Il est important de régler un temps suffisant entre les tests. Dans ce cas, nous avons 6 ping pour chaque passerelles, ce qui devrait être fait en moins de 30 secondes.
3.4. Les infrastructures de base Afin de fournir une infrastructure de base pour le réseau interne, vous devez installer DNS et DHCP en utilisant les modules logiciels de gestion -> Composants Zentyal.
Maintenant, vous devez activer ces composants dans état des modules. Si vous souhaitez que le DNS agisse comme un serveur de cache, vous pouvez configurer Réseau -> DNS à 127.0.0.1 (si vous configurez plus d'un serveur DNS, 127.0.0.1 devra être le premier serveur):
Le serveur DHCP peut aussi être configuré pour le réseau interne (eth2 dans notre exemple): il permet de configurer automatiquement la passelle et le
serveur DNS pour les clients du serveur DHCP. Vous pourrez choisir une adresse de votre passerelle et DNS, differente de celle de votre serveur DHCP.
Vous devrez ajouter une plage d'adresses IP par défaut que vous voulez utiliser pour les clients, par exemple 10.0.0.20-10.0.0.100 dans notre cas
Si vous souhaitez attribuer des ip fixes à vos clients depuis votre serveur DHCP, vous devrez créer d’abord des membres dans le module Objets en leur donnant une adresse IP et mac adresse de la forme suivante 10.0.0.101/32, 00:0C:22:D4:K1:54. Il est vivement recommandé de ne pas utiliser la même plage DHCP pour vos machines en adressage DHCP fixe car votre serveur DHCP pourrait attribuer une adresse ip déjà utilisée à vos membres.
Le Serveur DHCP permet également de saisir un domaine de recherche. Cette fonction vous permettra par exemple de raccourcir vos différentes requetes http sur un même domaine.
4. Firewall A ce stade, vous avez réseau qui fonctionne avec toutes les infrastructures de réseaux de base. Maintenant, nous allons jeter un oeil au parefeu Zentyal et regarder comment le configurer.
Zentyal est sécurisé, par défaut le pare-feu applique des règles strictes sur les interfaces externes et autorise le trafic sortant du réseau local interne. Vous pouvez trouver les règles configurées dans Pare-feu - Packet Filter> :
- Filtrage des règles à partir des réseaux internes aux Zentyal- Filtrage des règles pour les réseaux internes- Filtrage des règles pour le trafic sortant de Zentyal- Filtrage des règles à partir des réseaux externes au Zentyal règles- Filtrage des réseaux extérieurs aux réseaux internes- Les règles ajoutées par les services Zentyal (Avancé)
Par défaut, toutes ces table interdisent les connexions, si vous souhaitez autoriser une connexion ,vous avez besoin de créer une nouvelle règle (les règles sont appliquées dans l'ordre). Voici quelques exemples courants:
Permettre aux clients internes d'utiliser certains services, sauf LDAP:
Autoriser tout le trafic provenant de clients à l'Internet:
Pour paramétrer de nouvelle règles, vous devrez d’abord saisir de nouveau objets (ou utiliser les mêmes que ce déjà utliser pour le serveur DHCP), mais aussi créer de nouveau service dans le module Services :
Par exemple vous souhaitez ajouter le service VNC : Aller dans Service => Nouveau Service => Nommez ce service VNC, et valider. Une nouvelle ligne « VNC » apparaitra, vous devrez donc modifier ce service et saisir le port utiliser par votre service VNC.
5. Proxy HTTP La dernière étape de ce tutoriel est la configuration de proxy HTTP. Celui-ci permet de diminuer la bande passante lors de la navigation des utlisateur sur internet en mettant les sites consulté en cache. De plus il pourra également filtrer le contenu de site web consulté par vos utilisateurs, en interdisant les url de sites ou par le filtre de contenu.
Dans Proxy HTTP -> Général , vous pouvez configurer le proxy HTTP en mode transparent, de cette facon les navigateurs de vos machines clientes n'auront pas besoin d'être configurés, les demandes HTTP (port 80) seront automatiquement redirigé par le proxy. Vous pouvez également augmenter la taille du cache en fonction de votre matériel et de son utilisation.
Enfin, vous pouvez ajouter des URL à des exceptions de cache, de cette façon le proxy ne mettra jamais en cache les URLs listées. Ceci est utile si vous avez toujours besoin d’accéder à une page dans sa dernière version.
Si vous réglez la politique par défaut du proxy en Filtrer, celui-ci filtrera le requêtes de vos clients par le filtre contenu que l’on peut paramétrer dans Profils de filtres. Dans le menu proxy HTTP -> Profils de filtres, vous trouverez les profils définis par le filtrage. Vous pouvez configurer celui par défaut, qui s'appliquera à tous les utilisateurs.
Vous pourrez configurer le seuil de filtrage de contenu et ajouter une listes de domaines interdits. Aussi, si vous souhaitez installer le module antivirus le proxy pourra l’utiliser pour filtrer les téléchargements de virus.
Dans cet exemple, nous avons fait le choix de bloquer, en plus du filtre de contenu, l’url facebook.com. Mais gardez à l’esprit que le proxy ne filtre que sur le port http (soit le port 80). Dans ce cas, les utilisateurs peuvent encore atteindre la version HTTPS de la page. Pour bloquer ce trafic, vous devrez une règles dans votre parefeu. Vous aurez également besoin d'un objet ( menu objets) contenant les différentes adresses IP des serveurs facebook.com:
Vous devrez aussi créer un nouveau service correspondant au protocole que souhaitez interdire. Dans ce cas, le protocole HTTPS (TCP avec le port de destination 443):
Enfin, vous devrez ajouter la règle de pare-feu pour les réseaux internes pour bloquer le trafic correspondant à votre nouvel objet et service :
6. Conclusions Vous avez entièrement configuré votre serveur Zentyal comme une passerelle avec équilibrage de charge, le basculement et le cache du proxy
HTTP. Zentyal sera également en charge des infrastructures de base DHCP et DNS. Vous savez egalement paramétrer le parefeu en créant de nouveaux objets et services
