Tutorial IPCOP + UrlFilter + BlockOutTraffic

IPCOP

I n s t a l l a t i o n I P C O P

1/ Boot sur le CD avec sélection options installation

claviersource logicieldisquette de configuration

2/ Recherche Carte Réseau pour le Réseau GREEN (LAN)

@ IP 192.168.10.99Masque 255.255.255.0

3/ Configurations

Clavier fr-latin1Heure Europe/Paris

4/ Configuration type Réseau

GREEN + REDConfiguration de la carte réseau pour le Réseau RED (WAN)

@ IP 81.80.xxx.xxxMasque 255.255.xxx.xxx

DNS Primaire 194.2.xxx.xxxDNS Secondaire 194.2.xxx.xxx

Passerelle 81.80.xxx.xxx

Désactiver DHCP

V1.0 / daniel.dls 1 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

5/ PassWord ROOT & ADMIN

Attention :

les caractères tapés n’apparaîtront pas et le curseur ne bougera pas

6/ Configuration terminée / Reboot

Vérification Installation

Depuis un poste du réseau local (GREEN), lancer IE et tester administration à distance :

https://192.168.10.99:445

A c t i v e r A c c è s S S H d a n s I P C O P

Système Accès SSH

Valider toutes les options

I P C O P / S e r v e u r M a n d a t a i r e

Activer Serveur Mandataire (Proxy)

Système de Détection des Intrusions : GREEN sortServeur TransparentRED sort

V1.0 / daniel.dls 2 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

O p t i o n s I n t e r n e t

OutilsOptions

Connexion Paramètres Réseau

Serveur ProxyAdresse 192.168.10.99 Port 800

sauf @IpCop

V1.0 / daniel.dls 3 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

P o r t 4 4 5 m o d i f i é e n 4 4 4 5

Modification du port d’écoute 445 en 4445 car ce port a été verrouillé par certains FAI (Sasser)Passer en mode console sur le poste IPCOP et se connecter avec le compte ROOT

Modifier le fichier /etc/httpd/conf/httpd.conf

Utiliser l'éditeur vi

Mode insertion Echap + A

ligne 23 (environ) "Listen 4445"

ligne 119 (environ) "VirtualHost_default_:4445"

Enregistrer Modif Echap + :wq

Modifier le fichier /var/ipcop/header.pl

Utiliser l'éditeur vi

Mode insertion Echap + A

ligne 171 (environ) "print "Location: https://$ENV…:4445/……";"

Enregistrer Modif Echap + :wq

Vérification Installation

Depuis un poste du réseau local (GREEN), lancer IE et tester administration à distance :

https://192.168.10.99:4445

V1.0 / daniel.dls 4 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

A u t o r i s a t i o n A d m i n i s t r a t i o n à d i s t a n c e

Créer une règle pour permettre l'administration à distance d'IPCOP

Pare-FeuAccés externes

Protocole TOUT Adresse IP Source TOUT Port Destination 4445

I n s t a l l a t i o n l o g i c i e l W i n S C P

Télécharger et installer WinSCP sur le poste depuis lequel vous administrez IPCOP afin de pouvoir transférer les futurs plugins

Host Name : 192.168.10.99Port Number : 222User Name : rootPassword : xxxxxx

http://winscp.net/download/winscp381setupintl.exe

Créer un repertoire plugins

/var/ipcop/plugins

On copiera dans ce répertoire les plugins que l'on rajoutera

V1.0 / daniel.dls 5 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

I n s t a l l a t i o n d ' U r l F i l t e r

http://www.urlfilter.net/download/ipcop-urlfilter-1.7.0.tar.gz

Copier l'archive téléchargée dans le répertoire créé /var/ipcop/plugins

Décompresser l'archive tar –zxvf [nom_du_plugin]

Depuis le répertoire du plugin ./install

Configuration

Activer le Filtrage d'URL dans Serveur Mandataire (proxy)

Puis dans :

ServicesFiltre d'URL

Activer Mode TransparentTaille du cache 1024 Mo

V1.0 / daniel.dls 6 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

Télécharger une BlackList

http://cri.univ-tlse1.fr/documentations/cache/squidguard.html

ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

Paramétrer UrlFilter selon besoin. Exemple de configuration :

BlackLists personnalisées :

ces deux lignes bloquent l'exécution d'MSN Messenger

webmessenger.msn.comgateway.messenger.hotmail.com

WhiteListes personnalisée

Indiquer ici la liste des sites autorisés qui pourraient être éventuellement bloquées par la BlackList : doctissimo.fr , france5.fr

Activer les WhiteListes Personnalisées

V1.0 / daniel.dls 7 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

Paramétrages des pages bloquées :

Valider :

Afficher les catégories …Afficher l'URL …Afficher l'adresse IP …

Personnaliser le message si vous le souhaitez

ENREGISTRER et REDEMARRER

I n s t a l l a t i o n A d d o n s

Procéder de la même manière que pour les opérations précédentes avec l'archive téléchargée.

http://prdownloads.sourceforge.net/firewalladdons/addons-2.3-CLI-2.tar.gz?download

Attention : l'exécutable à lancer peut différer suivant le plugin à installer

V1.0 / daniel.dls 8 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

I n s t a l l a t i o n B l o c k O u t T r a f f i c

http://blockouttraffic.de/files/BlockOutTraffic-2.3-GUI-b4.tar.gz

Procéder de la même manière que pour les opérations précédentes avec l'archive téléchargée.

Attention à relever l'@ MAC du poste depuis lequel vous administrez IPCOP afin de configurer BlouckOutTraffic correctement

Règles à mettre en place afin d'autoriser les accés http, https, pop, smtp et ftp aux utlisateurs.

Ajouter deux nouveaux services

Règle concernant l'accès à IpCop proxy, Dns, Ntp, SSH

Activer BlockOutTraffic

V1.0 / daniel.dls 9 / 10

Tutorial IPCOP + UrlFilter + BlockOutTraffic

J O U R N A U X

Journaux du Filtre URL

Permet de consulter les pages bloquées. La catégorie indique le filtre qui a bloqué cette page et l'adresse Client, l'IP de la machine d'où la page a été demandée.

I N S T A L L A T I O N T E R M I N E E

V1.0 / daniel.dls 10 / 10