Pare-feu

Dans votre réseau d'établissement, l'accès aux messageries instantanées n'est pas autorisé par défaut. Mais voilà, les assistants de langue utilisent ces outils pour rester en contact avec leurs proches et ils souhaiteraient pouvoir les utiliser. Pour cela, il va vous falloir autoriser cet outil. Le pare-feu du SLIS vous permet de ne l'autoriser que depuis certains postes pour peu que vous ayez défini vos sous-réseaux correctement au sein de l'établissement.

Supposons que vous souhaitiez autoriser cet accès dans la salle des professeurs, où les assistants de langue utilisent les ordinateurs, et que cette salle corresponde au sous-réseau 172.16.101.0/24

Il vous faut d'abord ouvrir la page d'accueil du pare feu en y accédant par le menu du SLIS.

Sécurité -> Pare-feu -> Pare-feu

Votre configuration concerne la gestion de l'accès internet depuis le réseau local. Vous allez donc cliquer sur "Vue d'ensemble" de la partie "Accès internet depuis le réseau local". Vous obtenez alors la page d'accueil du pare-feu qui a l'apparence suivante.

Dans cette page, vous pouvez distinguer une première partie avec les actions que vous pouvez accomplir :

• Retourner à la page d'accueil du pare-feu

• Modifier la programmation horaire des sous-réseaux (renvoie vers le menu de la gestion des sous-réseaux)

• Passer votre pare-feu en mode "tout passe", ce qui peut être utile pour faire des tests mais est fortement déconseillé en fonctionnement normal

• Et enfin la création d'un nouveau droit d'accès. C'est cette option qui nous intéresse pour notre exemple.

Dans la seconde partie de la page, vous avez l'ensemble des paramètres de configuration de votre pare-feu pour l'accès à internet depuis le réseau local. Cette liste contient trois types de règles différentes :

• Les règles obligatoires. Ce sont des règles décidées au niveau académique, qui sont indispensables au bon fonctionnement du SLIS. Elles sont présentes pour information, surlignées en gris, mais vous ne pouvez pas agir dessus.

• Les règles prédéfinies. Elles sont mises en place par défaut. Dans le cadre de la politique locale de l'établissement, vous pouvez décider de les désactiver. Soyez attentifs aux conséquences. Elles sont sur fond bleu.

• Enfin, tout en bas, vous trouverez les règles personnalisées. Elles sont sur fond blanc.

C'est justement une de ces règles personnalisées que nous allons rajouter. Vous allez donc cliquer sur "Autoriser un nouveau droit d'accès à l'internet".

Cela vous conduira à une nouvelle page.

Vous allez maintenant procéder en 6 étapes :

1. Donner un nom à votre règle de pare-feu. C'est celui qui apparaitra dans votre liste sur la page d'accueil et vous renseignera sur la règle. Autant être précis. On va donc choisir "autoriser l'accès à MSN depuis la salle des profs"

2. Choisir le schéma. Les schémas sont les différents types de services auxquels vous souhaitez pouvoir accéder. Un certain nombre de schémas sont prédéfinis et vous ne devriez pas avoir besoin de nouveau schéma. Si c'était le cas, il faudrait vous référer à la documentation de référence ou contacter l'assistance académique. Ici, le schéma qui nous intéresse est celui de "Messagerie instantanée" que nous cochons donc.

3. La zone suivante nous demande le réseau qui doit avoir accès à ce service. Il ne s'agit pas de tout le réseau local. Nous cochons donc la case "depuis une adresse ou un réseau spécifique" et nous indiquons le sous-réseau de la salle des professeurs  : 172.16.101.0/24

4. L'accès doit bien se faire vers tout internet par contre. Nous laissons cochée la case "Tout internet".

5. La cible de la règle est "Selon la planification horaire". La règle sera acceptée pendant les plages horaires d'activation définies pour le sous-réseau de la salle des professeurs.

6. Il ne reste plus qu'à valider.

Voilà, la nouvelle règle est en place et prête à l'emploi.

Nous allons considérer que vous avez installé une machine fabuleuse qui permet de faire le café à partir d'internet. Cette machine a besoin pour fonctionner d'écouter sur le port 2345. Pour pouvoir se mettre à jour et offrir de nouvelles façons de préparer le café à ses utilisateurs, elle a aussi besoin d'accéder au site FTP du fabricant, qui fonctionne sur le port 21.

Il va donc falloir :

• Indiquer au pare feu qu'un nouveau serveur est sur la DMZ.

• Lui indiquer quel service il fournit au monde entier et au LAN.

• Lui indiquer quelle fonctionnalité d'internet cette machine va utiliser.

Commençons par déclarer ce nouveau serveur au pare-feu du SLIS. Pour cela, de la page d'acceuil du pare-feu, vous allez ouvrir cette fois la vue d'ensemble de "l'administration de la DMZ" et non pas de l'accès internet depuis le réseau local. Vous accéderez alors à une page qui déclare toutes vos machines sur la DMZ.

Cette page vous propose de revenir au menu d'accueil ou de déclarer une nouvelle machine. Elle vous fournit par ailleurs la liste des machines déjà existantes sur la DMZ. Par défaut, sur un SLIS fraîchement installé, vous ne verrez que le LCS. Cette ligne grisée et le petit icone avec un cadenas vous indique que cette machine est prédéfinie au niveau académique et que vous ne pouvez ni la supprimer, ni la désactiver. Elle est en effet indispensable au bon fonctionnement de votre SLIS.

Nous allons donc cliquer sur l'ajout d'une nouvelle machine en DMZ.

Cette page est assez simple à remplir. Il faut donner :

1. le nom de l'hôte. Autant que possible, cela doit correspondre à son nom au sens réseau du terme. Nous indiquerons ici "cafe".

2. l'adresse IP. Cette adresse étant sur la DMZ, dans une configuration standard, elle est sur le réseau 192.168.234.0/24. Pour les établissements de l'académie de Grenoble, vous trouverez les préconisations d'adressage et l'indication des IP réservées sur le document "Adressage IP pour l'intranet et la DMZ des réseaux Pédagogiques" du site "Assitance Technique aux AIPRT". Dans notre exemple, nous choisissons l'IP 192.168.234.100

3. une description la plus complète possible de la machine.

4. Puis Valider.

En cliquant sur la validation, la machine est créée et la page est rechargée, avec cette fois deux zones supplémentaires :

• Les droits d'accès sortant de la machine

• Les services proposés par la machine

Dans notre exemple, la machine fournit un service de contrôle du café. Il va falloir configurer un service en cliquant sur le bouton " + Créer " pour ajouter un service.

Il va maintenant falloir définir le service. Sur cette page, vous devrez renseigner :

1. Le nom du service, par exemple "Contrôleur de café".

2. La source des requêtes. Votre service peut répondre à des requêtes internet ou à des requêtes provenant du réseau local. Dans notre cas, il faudra procéder en deux étapes. La première fois, nous créons le service depuis internet. Le réseau source sera 0.0.0.0/0, ce qui signifie que tout internet a accès à ce service.

3. Le port source. Une requête sur internet a un port source et un port de destination. Il est extrêmement rare que le port source soit fixé. On laisse donc la valeur par défaut : "all".

4. Le protocole. La plupart du temps, il s'agit du protocole tcp.

5. Le port d'écoute. C'est ce port qui est associé au service que nous utiliserons. Ici, il s'agit du port 2345.

6. Le NAT. Les requêtes venant d'internet ne connaissent à priori que votre SLIS. Il faut donc que le SLIS les intercepte et les renvoie vers le serveur idoine sur la DMZ. Cette fonctionnalité des pare-feu s'appelle le NAT (Network Address Translation). Il faut donc ici choisir "oui" pour le NAT.

7. Le port sur lequel le SLIS écoute peut être différent du port sur lequel le serveur écoute. Par défaut, sauf besoin particulier, nous mettons ici le même port.

8. Et enfin, on valide tout cela.

Nous allons ensuite définir le même service pour le LAN. Nous procéderons exactement de la même façon à quelques petits détails près.

Dans "Services proposés par l'hôte", cliquer une nouvelle fois sur " + Créer".

• Le nom du service peut être identique ou un peu différent. On peut par exemple le nommer "controleur de café (LAN)".

• Le réseau source doit être le LAN. On peut indiquer comme réseau 172.16.0.0/16

• On peut "nater" de la même façon que pour le service internet.

Au final, vous devez alors avoir une configuration de ce type qui s'affiche.

Votre machine à café est fabriquée par "Neslonguo, le café des gogos". Vous savez que régulièrement, de nouveaux firmwares sont proposés et des mises à jour de sécurité aussi, afin de ne pas vous faire perdre la main sur cet outil indispensable à tout pédagogue qui se respecte.

La mise à jour utilise le protocole FTP et se fait sur le site ftp.neslonguo.com

L'accès à internet n'est pas ouvert par défaut pour les machines de la DMZ. Il va falloir fournir à votre machine le droit d'accéder à ce site en FTP. La démarche sera sensiblement la même que pour fournir un accès à une machine du réseau local. Vous allez d'abord accéder à la page d'accueil de la DMZ. Dans la liste des hôtes hebergés, vous allez cliquer sur la modification de la machine cafe (c'est à dire sur l'icône avec les petits outils).

Dans la page dédiée à cette machine, vous avez une liste ( vide pour l'instant ) des droits d'accès sortant. Nous allons en créer un. Vous cliquerez donc sur le bouton de création.

pour configurer ce service, voici les étapes :

1. On donne un nom au droit d'accès sortant. Ici, ce sera l'accès au serveur de mise à jour.

2. On choisit le schéma. Parmi les schémas prédéfinis, on trouve "Transférer des fichiers (ftp)". On choisit donc ce schéma.

3. Le droit d'accès sortant est vers internet et non pas vers le réseau local. Il faut accéder au serveur ftp.neslonguo.com. Comme on ne connaît pas l'IP de ce serveur, on indique 0.0.0.0/0 dans l'adresse autorisée, ce qui autorise le FTP vers tout internet. Il serait préférable de ne l'autoriser que vers un seul serveur. ATTENTION, ce doit toujours être une adresse IP ou un réseau IP, jamais un nom DNS.

4. On autorise ce droit d'accès selon la planification horaire.

5. On valide.

Après la validation, vous êtes redirigés vers la fiche du serveur, et les droits d'accès sortant ont étés mis à jour.