Premiers Pas avec le serveur SLIS

Pare-feu

Rôle d'un pare-feu

Schéma de principe du pare-feu

Un pare-feu a pour fonction de réguler le trafic entre deux réseaux ou plus. Il sert à accepter ou rejeter un flux, ou éventuellement le rediriger.

Sur le SLIS[1], le pare-feu régule le trafic entre trois zones :

  • la zone WAN[2] (Wan Area Network : Internet, quoi...),

  • la zone LAN[3] (Local Area Network : chez vous bien au chaud),

  • la zone DMZ[4] (Demilitarized Zone : une zone semi-publique pour vos serveurs),

La gestion des flux sur le SLIS[1] s'intéresse principalement (mais pas exclusivement) :

  • aux flux de votre réseau local vers Internet (à quoi les machines du réseau local ont elles accès sur Internet),

  • aux flux du réseau local vers la DMZ[4] (quel services la DMZ[4] propose-t-elle au réseau local),

  • au flux de l'internet vers la DMZ[4] (quels services l'établissement scolaire propose-t-il sur Internet),

  • aux flux de la DMZ[4] vers internet (quels sont les services sur Internet dont les ordinateurs de la DMZ[4] ont besoin ? ).

Cas d'usage

Nous allons distinguer quelques cas d'usage courants et présenter la façon dont on procède pour répondre à ces demandes :

  • Autoriser un service du réseau local vers Internet,

  • Fournir un service sur une machine à partir de votre zone démilitarisée.

Du réseau local vers Internet

Comment autoriser MSN sur une plage d'adresse ?

Dans votre réseau d'établissement, l'accès aux messageries instantanées n'est pas autorisé par défaut. Mais voilà, les assistants de langue utilisent ces outils pour rester en contact avec leurs proches et ils souhaiteraient pouvoir les utiliser. Pour cela, il va vous falloir autoriser cet outil. Le pare-feu du SLIS[1] vous permet de ne l'autoriser que depuis certains postes pour peu que vous ayez défini vos sous-réseaux correctement au sein de l'établissement.

Supposons que vous souhaitiez autoriser cet accès dans la salle des professeurs, où les assistants de langue utilisent les ordinateurs, et que cette salle corresponde au sous-réseau 172.16.101.0/24

Il vous faut d'abord ouvrir la page d'accueil du pare feu en y accédant par le menu du SLIS[1].

« Sécurité »« Pare-feu »

Page d'accueil du pare-feu

Votre configuration concerne la gestion de l'accès Internet depuis le réseau local. Vous allez donc cliquer sur « Vue d'ensemble » de la partie « Accès Internet depuis le réseau local ». Vous obtenez alors la page d'accueil du pare-feu qui a l'apparence suivante.

Page d'accueil de la partie "Accès à internet depuis le réseau local"

Dans cette page, vous pouvez distinguer une première partie avec les actions que vous pouvez accomplir :

  • Retourner à la page d'accueil du pare-feu

  • Modifier la programmation horaire des sous-réseaux (renvoie vers le menu de la gestion des sous-réseaux)

  • Passer votre pare-feu en mode « tout passe », ce qui peut être utile pour faire des tests mais est fortement déconseillé en fonctionnement normal

  • Et enfin la création d'un nouveau droit d'accès. C'est cette option qui nous intéresse pour notre exemple.

Dans la seconde partie de la page, vous avez l'ensemble des paramètres de configuration de votre pare-feu pour l'accès à Internet depuis le réseau local. Cette liste contient trois types de règles différentes :

  • Les règles obligatoires. Ce sont des règles décidées au niveau académique, qui sont indispensables au bon fonctionnement du SLIS. Elles sont présentes pour information, surlignées en gris, mais vous ne pouvez pas agir dessus.

  • Les règles prédéfinies. Elles sont mises en place par défaut. Dans le cadre de la politique locale de l'établissement, vous pouvez décider de les désactiver. Soyez attentifs aux conséquences. Elles sont sur fond bleu.

  • Enfin, tout en bas, vous trouverez les règles personnalisées. Elles sont sur fond blanc.

C'est justement une de ces règles personnalisées que nous allons ajouter. Vous allez donc cliquer sur « Autoriser un nouveau droit d'accès à Internet ».

Cela vous conduira à une nouvelle page.

Nouveau droit d'accès du réseau local vers Internet

Vous allez maintenant procéder en 6 étapes :

  1. Donner un nom à votre règle de pare-feu. C'est celui qui apparaîtra dans votre liste sur la page d'accueil et vous renseignera sur la règle. Autant être précis. On va donc choisir « Autoriser l'accès à MSN depuis la salle des professeurs ».

  2. Choisir le schéma. Les schémas sont les différents types de services auxquels vous souhaitez pouvoir accéder. Un certain nombre de schémas sont prédéfinis et vous ne devriez pas avoir besoin de nouveau schéma. Si c'était le cas, il faudrait vous référer à la documentation de référence ou contacter l'assistance académique. Ici, le schéma qui nous intéresse est celui de « Messagerie instantanée » que nous cochons donc.

  3. La zone suivante nous demande le réseau qui doit avoir accès à ce service. Il ne s'agit pas de tout le réseau local. Nous cochons donc la case « Une adresse ou un réseau spécifique » et nous indiquons le sous-réseau de la salle des professeurs  : « 172.16.101.0/24 ».

  4. L'accès doit bien se faire vers tout Internet par contre. Nous laissons cochée la case « Tout Internet ».

  5. La cible de la règle est « Selon la planification horaire ». La règle sera acceptée pendant les plages horaires d'activation définies pour le sous-réseau de la salle des professeurs.

  6. Il ne reste plus qu'à valider.

Voilà, la nouvelle règle est en place et prête à l'emploi.

Autoriser un service dans la DMZ

DéfinitionZone démilitarisée (DMZ)

La DMZ[4] est une zone intermédiaire entre le réseau internet et votre réseau local. Les machines hébergées sur la DMZ[4] sont accessibles de l'internet. En tant que telles, elles sont considérées comme peu sûres et sont donc séparées du réseau local. Cependant, elles ne sont pas directement sur Internet. Le pare-feu du SLIS[1] les protège des éventuelles tentatives d'attaque en provenance d'internet.

Fournir un service accessible depuis Internet

Nous allons considérer que vous avez installé une machine fabuleuse qui permet de faire le café à partir d'Internet et du réseau local. Cette machine a besoin pour fonctionner d'écouter sur le port 2345 en TCP. Pour pouvoir se mettre à jour et offrir de nouvelles façons de préparer le café à ses utilisateurs, elle a aussi besoin d'accéder au site FTP du fabricant, qui fonctionne sur le port 21.

Il va donc falloir :

  • Indiquer au pare feu qu'un nouveau serveur est sur la DMZ[4].

  • Lui indiquer quel service il fournit au monde entier et au LAN[3].

  • Lui indiquer quelle fonctionnalité d'internet cette machine va utiliser.

Commençons par déclarer ce nouveau serveur au pare-feu du SLIS[1]. Pour cela, de la page d'accueil du pare-feu, vous allez ouvrir cette fois la « Vue d'ensemble » de l'« Administration de la DMZ ». Vous accéderez alors à une page qui déclare toutes vos machines sur la DMZ[4].

Page d'accueil de la partie DMZ du pare-feu

Cette page vous propose de revenir au menu d'accueil ou de déclarer une nouvelle machine. Elle vous fournit par ailleurs la liste des machines déjà existantes sur la DMZ[4]. Par défaut, sur un SLIS fraîchement installé, vous ne verrez que le LCS[5]. Cette ligne grisée et le petit icone avec un cadenas vous indique que cette machine est prédéfinie au niveau académique et que vous ne pouvez ni la supprimer, ni la désactiver. Elle est en effet indispensable au bon fonctionnement de votre SLIS[1].

Nous allons donc cliquer sur « Déclarer une nouvelle machine sur la DMZ ».

Nouvel hôte sur la DMZ

Cette page est assez simple à remplir. Il faut donner :

  1. le nom de l'hôte. Autant que possible, cela doit correspondre à son nom au sens réseau du terme. Nous indiquerons ici « cafe ».

  2. l'adresse IP. Cette adresse étant sur la DMZ[4], dans une configuration standard, elle est sur le réseau 192.168.234.0/24. Pour les établissements de l'académie de Grenoble, vous trouverez les préconisations d'adressage et l'indication des IP réservées sur le document Adressage IP pour l'intranet et la DMZ des réseaux Pédagogiques du site « Assistance Technique aux PRT ». Dans notre exemple, nous choisissons l'adresse IP « 192.168.234.100 ».

  3. une description la plus complète possible de la machine.

  4. Puis cliquer sur le bouton « Créer ».

En cliquant sur le , la machine est créée et la page est rechargée, avec cette fois deux zones supplémentaires :

  • Les droits d'accès sortant de la machine

  • Les services proposés par la machine

Dans notre exemple, la machine fournit un service de contrôle du café. Il va falloir configurer un service en cliquant sur le bouton « + Créer » pour ajouter un service.

Création d'un nouveau service pour l'hôte

Il va maintenant falloir définir le service. Sur cette page, vous devrez renseigner :

  1. Le nom du service, par exemple « Contrôleur de café ».

  2. La source des machines qui peuvent accèdent au service. Dans notre cas, comme ce service peut répondre à des requêtes Internet et à des requêtes provenant du réseau local, il faudra procéder en deux étapes. La première fois, nous autorisons le service depuis internet. Le réseau source sera donc « 0.0.0.0/0 », ce qui signifie que tout internet a accès à ce service.

  3. Le port source. Une requête depuis Internet a un port source et un port de destination. Il est extrêmement rare que le port source soit fixé. On laisse donc la valeur par défaut : « all ».

  4. Le protocole. La plupart du temps, il s'agit du protocole « tcp ».

  5. Le port d'écoute. C'est le port sur lequel le service est fourni. Ici, il s'agit du port « 2345 ».

  6. Le NAT[6]. Les requêtes venant d'Internet ne voient de l'extérieur que l'adresse de votre SLIS[1]. Il faut donc que le SLIS[1] les intercepte et les renvoie vers le serveur adéquat dans la DMZ[4]. Cette fonctionnalité des pare-feu s'appelle le NAT[6] (Network Address Translation). Il faut donc ici choisir « oui » pour le NAT[6].

  7. Le port « externe » sur lequel le SLIS[1] fourni le service peut être différent du port du serveur en DMZ. Par défaut, sauf besoin particulier, nous mettons ici le même port : « 2345 ».

  8. Et enfin, on valide tout cela en cliquant sur le bouton « Valider ».

Définition d'un service dans la DMZ

Nous allons ensuite définir le même service pour le LAN[3]. Nous procéderons exactement de la même façon à quelques petits détails près.

Dans « Services proposés par l'hôte », cliquer une nouvelle fois sur « + Créer ».

  • Le nom du service peut être identique ou un peu différent. On peut par exemple le nommer « contrôleur de café (LAN) ».

  • Le réseau source doit être le LAN[3]. On indique comme réseau « 172.16.0.0/16 », pour permettre l'accès au café à tous les postes de l'établissement.

  • On peut « natter » de la même façon que pour le service internet.

Au final, vous devez alors avoir une configuration comme ci-après qui s'affiche.

État des services proposés

Autoriser un droit d'accès sur la DMZ

Le FTP des mises à jour

Imaginons que votre machine à café est fabriquée par « Neslonguo, le café des gogos ». Vous savez que régulièrement, de nouveaux firmwares[7] sont proposés et des mises à jour de sécurité aussi, afin de ne pas vous faire perdre la main sur cet outil indispensable à tout pédagogue qui se respecte.

La mise à jour utilise le protocole FTP[8] et se fait sur le site (imaginaire) ftp.neslonguo.com

L'accès à Internet n'est pas ouvert par défaut pour les machines de la DMZ[4]. Il va falloir fournir à votre machine le droit d'accéder à ce site en FTP[8]. La démarche sera sensiblement la même que pour fournir un accès à une machine du réseau local : Aller d'abord sur la « Vue d'ensemble » de la DMZ[4], dans « Sécurité »« Pare-feu ».Dans la liste des hôtes hébergés, cliquer sur la modification de la machine « cafe » (c'est à dire sur l'icône avec les petits outils).

Accès en modification à la machine « cafe »

Dans la page dédiée à cette machine, vous avez une liste (vide pour l'instant) des droits d'accès sortants. Nous allons en créer un nouveau : Cliquer sur le bouton de création « + Créer ».

Création d'un droit d'accès sortant sur la DMZ

Voici les étapes pour configurer ce service :

  1. Donner un nom au droit d'accès sortant. Ici, ce sera l'accès au serveur de mise à jour.

  2. Choisir le schéma. Parmi les schémas prédéfinis, il y a « Transférer des fichiers (ftp) ». Donc, choisir ce schéma.

  3. Le droit d'accès sortant est vers Internet et non pas vers le réseau local. Il faut accéder au serveur ftp.neslonguo.com. Comme on ne connaît pas l'adresse IP de ce serveur, indiquer « 0.0.0.0/0 » dans l'adresse autorisée, cela autorise FTP[8] vers tout Internet. Il serait préférable de ne l'autoriser que vers un seul serveur. ATTENTION : c'est toujours une adresse IP ou un réseau IP, mais jamais un nom DNS[9].

  4. Autoriser ce droit d'accès selon la planification horaire.

  5. Valider.

Page de création d'un droit sortant de la DMZ

Après validation, vous êtes redirigés vers la fiche du serveur, et les droits d'accès sortants ont étés mis à jour.

Liste des droits d'accès sortants
  1. SLIS : Serveur Linux pour l'Internet Scolaire

  2. WAN : Wide Area Network : Utilisé dans SLIS pour désigner le lien connecté à Internet. « Un réseau étendu, souvent désigné par son acronyme anglais WAN (Wide Area Network), est un réseau informatique couvrant une grande zone géographique, typiquement à l'échelle d'un pays, d'un continent, voire de la planète entière. Le plus grand WAN est le réseau Internet. » ©Wikipedia CC-BY-SA

  3. LAN : Local Area Network : réseau informatique local

  4. DMZ

    Zone démilitarisé (DeMilitarized Zone en anglais). Zone tampon d'un réseau d'entreprise, située entre le réseau local et Internet, derrière le coupe-feu, qui correspond à un réseau intermédiaire regroupant des serveurs publics (HTTP, SMTP, FTP, DSN, etc.), et dont le but est d'éviter toute connexion directe avec le réseau interne et de prévenir celui-ci de toute attaque extérieure depuis le Web. La zone démilitarisée, tel un réseau écran entre le réseau public partagé (l'Internet) et le réseau privé (l'intranet), procure l'occasion d'installer des serveurs directement accessibles par Internet, le coupe-feu ne jouant pour cette zone qu'un rôle d'outil de statistiques. En fait, la zone DMZ ne contient que les services liés à Internet (serveur Web, serveur FTP, serveur de messagerie, etc.)

    Le terme zone franche, peu attesté, est parfois associé à cette notion.

  5. LCS : Linux Communication Server : Le serveur LCS est une solution libre de serveur de communication orienté « réseau Intranet d'établissement scolaire ». C'est un Logiciel Libre fabriqué dans l'académie de Caen : http://lcs.ac-caen.fr

  6. NAT : Network Addres Translation. En réseau informatique, on dit qu'un routeur fait du NAT (« traduction d'adresse réseau ») lorsqu'il fait correspondre les adresses IP internes non-uniques et souvent non routables d'un intranet à un ensemble d'adresses externes uniques et routables. ©Wikipédia CC-BY-SA

  7. firmware

    Un firmware, parfois appelé micrologiciel ou microcode, ou plus rarement logiciel interne ou logiciel embarqué, est un ensemble d'instructions et de structures de données qui sont intégrées dans du matériel informatique (ordinateur, photocopieur, automate (API, APS), un disque dur, un appareil photo numérique, etc.) pour qu'il puisse fonctionner. ©Wikipédia CC-BY-SA

  8. FTP : File Transfer Protocol (protocole de transfert de fichiers), ou FTP, est un protocole de communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. Il permet, depuis un ordinateur, de copier des fichiers vers un autre ordinateur du réseau, ou encore de supprimer ou de modifier des fichiers sur cet ordinateur. Ce mécanisme de copie est souvent utilisé pour alimenter un site web hébergé chez un tiers. ©Wikipédia CC-BY-SA

  9. DNS : Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom. ©Wikipédia CC-BY-SA

PrécédentPrécédentSuivantSuivant
AccueilAccueilImprimerImprimerRéalisé avec Scenari (nouvelle fenêtre)