Tout sur le firewall IPFire

Tout sur le firewall

IPFire
De nos jours, l’utilisation d’un antivirus n’est pas suffisant pour garan-
tir la sécurité de nos données informatiques et notre vie privée. En ef-
fet, les pirates informatiques ont adaptés leurs attaques à l’évolution
des technologies. C’est pourquoi, l’utilisation d’un firewall physique
bien configuré (de type IPFire) est primordiale pour protéger efficace-
ment votre réseau informatique domestique ou d’entreprise.
Dans cet article, vous apprendrez à installer et à configurer, pas à pas,
votre propre firewall IPFire; vous aurez aussi la possibilité de com-
prendre l’architecture réseau...

Cet article explique... Ce qu’il faut savoir...

• Ce qu’est un firewall. • Avoir des notions en réseau (adressage IP, DNS, DHCP)
• L’installation du firewall IPFire. • Avoir des notions en maintenance informatique.
• L’activation du proxy web avancé.
• Comment configurer le pare-feu sortant.

Q
ue vous soyez un particulier ou un professionnel, vous
vous êtes surement déjà demander si votre réseau était
bien protéger, si vous pouviez naviguer sur internet en
toute sécurité ou bien encore si les données échangées sur
votre réseau local restaient bien confidentielles....
Afin de résoudre ce problème d’insécurité omniprésent, nous
vous proposons d’immuniser votre réseau informatique effica-
cement, de toutes les menaces extérieures, avec le firewall phy-
sique open-source IPFire.

Qu’est ce qu’un Firewall ?

Un firewall ou pare-feu est un dispositif physique (matériel) ou
logique (logiciel) servant de système de protection pour les or-
dinateurs domestiques et d’entreprise. Actuellement, il existe
deux catégories de firewall :
• Les firewalls personnels protégeant uniquement les sta-
tions de travail ou ordinateurs personnels. Ils sont installés
directement sur l’ordinateur de l’utilisateur.
• Les firewalls d’entreprise installés sur des machines dé-
diées. Ce type de firewall est souvent placé entre Internet
et un réseau d’entreprise afin de protéger ce dernier des
différentes menaces d’Internet.
Ici, nous allons nous intéresser uniquement aux firewall phy-
sique car ils offres une solution de protection beaucoup plus
Figure 1. Illustration d’un firewall
complète. En effet, ce type d’architecture installé sur une ma-
chine dédiée de type (Linux – Unix – Debian) permet de cloi-
sonner votre réseau. Développons...
Tout votre parc réseau (ordinateur, imprimante, mobile..) est
relié à une seule unité centrale : le firewall. Ce dernier sera char-
gé de contrôler votre flux de données et vos activités réseaux
pour éviter toutes fuites d’informations vers l’extérieur (filtrage
de paquets). D’autres part, il vous protègera des vers, virus et
autres trojans (filtrage de contenu).

1 6/2012
 Tout sur le firewall IPFire

L’avantage, non négligeable, de constituer une telle infras- • VPN pour IPSec et serveurOpenVPN,
tructure chez vous est que votre réseau devient indépendant • Serveur DHCP,
de votre modem. Votre fournisseur d’accès internet ne pourra • Dynamic DNS (DynDNS, No-IP),
donc ni contrôler ni surveiller vos activités. Une bonne protec- • Analyse fonctions de surveillance du système et analyse
tion commence toujours par sa propre ligne internet. De plus, des logs.
les pirates informatiques ne pourront faire aucune intrusion sur
votre réseau. Pour mieux comprendre l’architecture d’un réseau protégé par
Il est important de rappeler qu’en l’absence d’une restriction IPFire, voici un schéma :
firewall, votre réseau est vulnérable même avec un antivirus .
Votre réseau est constamment scanné par des individus que
vous ne connaissez pas. Une application du style “zone alarme”
ne vous protégera en aucun cas. Là encore, il est indispen-
sable que vous puissiez contrôler toutes données entrantes
/ sortantes. Il faut bien admettre et retenir qu’un firewall est le
moyen le plus efficace pour se protéger de TOUTES les me-
naces informatiques.

Présentation d’IPFire
IPFire est une distribution GNU/Linux, orientée routeur et pare-
feu qu’il est possible de configurer.

Figure 3. Schéma d’un réseau protégé avec IPFire

Ce pare-feu est extrêmement simple d’utilisation, complet et en

français comme vous pouvez le voir dans la figure 4 : interface
de l’IPFire.

Figure 2. Logo d’IPFire

IPFire offre un système complet de gestion de paquets. On peut
ainsi disposer d’un système simple et léger qui agit comme un
pare-feu, ou l’équiper de nombreuses extensions. Il peut donc
s’adapter à différents scénarios. Enfin, les questions de sécurité
sont rapidement résolues par les mises à jour.
Le système de base est livré avec les caractéristiques sui-
vantes:
Figure 4. Interface de l’IPFire
• Firewall, Ici (figure 4), vous vous trouvez sur l’interface de gestion d’IP-
• Intrusion Detection System (Snort) de prévention des intru- Fire extrêmement complet qui vous permet d’accéder aux diffé-
sions, rents menus dont Pare-feu, Services, Rapport... La page d’ac-
• Serveur proxy avec filtrage de contenu et les fonctions de cueil du firewall IPFire, vous permettra de contrôler tout votre
mise en cache des mises à jour, réseau aussi bien entrant que sortant.
• Mise en cache, Là vous vous trouvez dans la page dédiée au Snort (figure
• Serveur de temps, 5) qui va permettre de surveiller toutes menaces de l’extérieur
• WOL (Wake up on LAN), et de l’intérieur.

www.hakin9.org/fr 2
 Tout sur le firewall IPFire
Figure 5. Page dédiée au Snort
Pour arriver sur cette page, vous devrez cliquer dans l’onglet
Rapport se trouvant dans le menu du haut et ensuite allez dans
le SIDEMENUE qui vous donne un sous-menu et là vous clique-
rez sur Rapports IDS. Cette dernière vous permet de voir toutes
les attaques ou scans effectués sur votre réseau.
Matériel minimum requis pour mettre en place un IPFire :
• Une tour avec un processeur de type Intel Pentium 3
• Un disque dur avec 10Go minimum
• Mémoire vive 256mo
• Lecteur CD-Rom
• 2 cartes réseaux minimum
• 2 câbles RJ45
• Clavier, souris et écran (nécessaire uniquement pour l’ins-
tallation)
Dans la suite du tutoriel, nous expliquerons comment installer
et configurer un IPFire. Vous remarquerez qu’ IPFire est extrê-
mement bien détaillés. C’est pour cette raison qu’il est indispen-
sable de le paramétrer correctement car cela a un impact direct
sur la qualité de l’interface web.
Figure 6. Ecran de bienvenue et sélection langage.ti
3 6/2012
Installation d’IPFire
Ici (figure 6), vous vous trouvez dans le menu d’installation d’IP-
Fire. Lors de votre première installation avec l’ISO appuyez sur
la touche ENTER de votre clavier. Vous tomberez alors sur la
sélection du langage, choisissez votre langue et cliquez OK.
Sur cette page, vous verrez un écran de bienvenue dans votre
langue. Vous serez informés d’un message vous demandant la
création des partitions. Sélectionnez Yes (oui) et validez. (figure 7)
Figure 7. Création des partitions
Dans votre cas, en français, vous vous trouverez face à un
menu similaire qui vous proposera plusieurs choix: ext3, ext4
etc. (figure 8)
Choisissez EXT4 qui signifie extended filesystem au niveau
4 (c’est à dire 4 partitions seront crées pour IPFIRE) puis faites
OK. Ensuite, vous verrez une autre fenêtre apparaitre, faites
de même.
Figure 8. Choix du mode de partitionnement
Maintenant, le système partitionne et formate votre disque dur
(cela peut prendre plusieurs minutes selon la taille du disque
dur). Ensuite, les fichiers du système seront “dépaquetés” sur
le disque dur et la procédure d’installation débutera.... (figure 9)
Figure 9. Ecran d’installation des fichiers système
 Tout sur le firewall IPFire
Configuration local
Après la procédure de dépaquetage, vous tomberez sur ce me-
nu (figure 10). Celui-ci vous demandera de choisir le type de
clavier que vous possédez : Azerty ou Qwerty. Choisissez bien
évidemment Azerty (si vous êtes français).
Figure 10. Choix du clavier
Pour l’étape suivante (figure 11), pas besoin d’être bilingue pour
comprendre ce qu’il faut faire. Il Faut simplement indiquer le
nom que vous avez choisi de donner à votre machine (host-
name).
Figure 11. Choix du nom de la machine
Maintenant, vous devez définir le fuseau horaire (figure 12).
Pour la France, il faut sélectionner Europe/Paris et valider en
cliquant OK.
Figure 12. Choix du fuseau horaire
Après redémarrage de l’IPFire, vous arriverez sur une page
(figure 13) qui vous demande simplement de choisir le nom de
domaine de votre machine.
Alors ici, je vais préciser certaines choses. Quand vous créez
un réseau, un site internet en local. Il est important de signaler
que vous hébergez votre page internet sur votre machine d’où
www.hakin9.org/fr
la demande “ domaine name “, qui dans le cas présent héber-
gera en local l’interface web d’IPFire.
Figure 13. Choix du nom de domaine local
Ici, il vous demande un mot de passe qui servira à vous lo-
guer en ligne de commande par la suite. Je m’explique : quand
vous lancerez IPFire la première fois, vous verrez apparaitre
sur votre écran tous les processus IPFire qui s’active un à un.
Au bout d’un moment quand tout sera chargé, vous verrez ap-
paraître ça sur votre écran NOM-DE-VOTRE-FIREWALL login
: (c’est ici que servira le mots de passe) par défaut : login : root
et mot de passe : root ( bien entendu vous pouvez mettre autre
chose et je vous le recommande d’ailleurs)
Ensuite, appuyer sur OK. Vous arriverez sur une autre fenêtre
(figure 14) vous demandant encore le mot de passe et un login
(cette fois si cela sera pour accéder à la page d’IPFire via votre
navigateur)
Figure 14. Choix du mot de passe root
Attention, si vous êtes nouveau sur les systèmes Unix, sachez
qu’il est tout à fait normal que l’écriture du mot de passe n’appa-
raisse pas sur l’écran (vous ne verrez ni * * * * ni - - - - qui vous
indique que vous avez appuyé sur une touche)
Au cœur d’IPFire
Sur cette page (figure 15), faites ENTER sur network configu-
ration type.
Figure 15. Type network configuration
4
 Tout sur le firewall IPFire
• Rouge WAN Réseau externe, connecté à Internet
• Vert LAN Réseau interne/privé, connecté localement
• Orange DMZ Réseau non protégé, zone démilitarisée
• Bleu WLAN Réseau sans fil, Réseau séparé pour clients Wi-Fi
Vous arrivez sur un menu qui demande de configurer votre ré-
seau (figure 16). Vous devez déjà savoir comment votre propre
réseau sera mis en place dans les étapes suivantes.
Figure 16. Choix du type de réseau
Dans mon cas, j’ai choisi GREEN + RED, qui signifie un réseau
en local qui aura la carte Ethernet GREEN et une carte Ethernet
RED vers mon modem qui servira à communiquer internet au
réseaux local (vers green).
Maintenant, il faut assigner une carte d’interface Ethernet
pour chaque réseau choisi précédemment (figure 17).
Figure 17. Configuration du type de réseau choisi
Si vous connaissez les adresses MAC de chaque carte réseau
vous pouvez les assigner ici (figure 18).
Figure 18. Assignation des cartes Eternet pour chaque réseau
Dans le plus simple des réseaux, à savoir rouge et vert (red &
green), vous avez fondamentalement une probabilité de 50/50.
5 6/2012
Le plus simple est juste d’en assigner une à chacun (des ré-
seaux), si vous ne pouvez pas “pinguer” à partir de votre instal-
lation IPFire, inverser les câbles réseaux et essayez à nouveau.
Gardez à l’esprit que vous pouvez avoir à réinitialiser le matériel
du FAI (modem câble, box, etc) avant de pouvoir reconnaître
un nouveau périphérique.
Le petit conseil que je peux vous donner est d’avoir deux
cartes Ethernet avec un nom différent; cela vous facilitera l’as-
signation de la carte RED / GREEN. Si ce n’est pas le cas,
essayez de vous repérer grâce au adresse mac comme dans
la figure 19.
Figure 19. Repérage des adresses MAC
Vous retournerez automatiquement sur le menu principal,
faites ENTER sur Adresse Setting. Là, vous allez assigner les
adresses ip des différentes cartes Ethernet.
Dans un premier temps, prenons RED (figure 20). Celle-ci
doit être configuré pour que le modem envoie le flux internet
vers votre Carte Ethernet (en gros c’est comme une porte déro-
bée; vous avez une entrée et une sortie toujours). Et bien ici,
c’est la même chose : l’entrée se fait par RED et la sortie vers
Green soit (RED=Internet GREEN=LAN).
Red est connecté à votre pare-feu et au modem et green est
connecté sur votre switch Ethernet vers vos machines réseaux
ce qui constituera le LAN (cf figure 3).
Figure 20. Paramètre d’adressage Red
Moi, j’ai un modem LiveBox auquel j’ai configuré l’ip 192.168.1.80
en DMZ. Donc pour qu’internet passe sur mon pare-feu, j’as-
signe une ip de type 192.168.1.XX afin que RED communique
des paquets avec le modem et que le modem communique
avec RED (et vice versa) puis on coche IP statique (pour cocher,
on utilise la barre espace de votre clavier). Chez vous aussi, si
vous avez une adresse ip fixe. Il faut cocher DHCP et mettre
255.255.255.0 dans la rubrique sous réseaux puis cliquer OK
(figure 21).
 Tout sur le firewall IPFire

sur le menu où vous verrez GREEN & RED, là faites encore

OK et là vous retournez au début faites ENTER sur DNS and
Setting (paramétrez DNS) vous obtiendrez alors ceci (figure 23).
Ici, c’est assez délicat !!!! Vous devez connaître vos para-
mètres DNS Primaire et Secondaire dans les box LiveBox. Il
suffit de se connecter sur l’interface admin http://192.168.1.1.
Vous allez être sur l’administration, allez sur Réseaux puis DNS
afin d’obtenir les informations qu’il vous faut.
Dans l’image ci-dessous, vous pouvez voir qu’il faut la pas-
serelle par défaut, mettez 192.168.1.1 (très important car sinon
ça ne fonctionnera pas (bien entendu je le répète chez vous ça
sera différent), (là il s’agit des paramètres pour une LiveBox) si
vous êtes chez FREE ou autre, la passerelle changera force-
ment. Faites OK et voilà vous avez fini de configurer le plus gros
d’ipfire, donc vous allez revenir du coup au début. Vous allez
faire OK. Maintenant vous allez arriver ici (figure 24) :

Figure 21. Configuration ip réseau Red

Vous allez arriver sur le menu de départ concernant les para-
mètres d’adressage. Nous venons de configurer l’interface Red,
maintenant nous allons faire pareil avec le Green. (figure 22)
Figure 24. Configuration du DHCP
Start adresse (début de plage IP) : ici vous allez mettre une
adresse IP terminant par .10
End Adresse (fin de plage ip) : Un exemple 10.250.30.10
Ici, mettez une fin d’adresse par .50 ( tout dépend du nombre
de machines connectées au réseau). Si, admettons, vous vou-
lez connecter 200 machines derrière votre pare-feu et bien cela
devra terminer par .200 Un exemple : 10.250.30.200
Là, maintenant faites OK et puis voilà vous aurez terminée
l’installation.

Paramétrage interface web

Nous allons accéder à l’interface d’ipfire; dans mon cas c’est
https://10.500.30.40:444. Vous arriverez sur une page vous
demandant de valider un certificat. Faites poursuivre comme
Figure 22. Paramètre d’adressage Green même ensuite, il vous demande le password de l’interface par
L’interface Green (carte Ethernet numéro 2 ) va permettre défaut admin / admin
de connecter votre réseau sous une autre plage IP, du style Première chose à faire : allez dans le SIDEMENUE Cliquer sur
10.340.40.1 et c’est cette IP qui permettra d’accéder à l’interface Accès SSH et cocher ces 4 cases : (comme dans la figure 25)
web du pare-feu IPFIRE. Si bien que vos machines connectées
au switcher (qui lui est connecté sur la carte Ethernet GREEN
c’est à dire le LAN ) va communiquer toutes informations venant
de RED , donc séparer complètement votre réseau LAN du
modem. Une fois votre IP choisi, faites OK. Vous allez retourner

Figure 25. Paramètres SSH

Ensuite, vous allez sur l’onglet RESEAU et cochez les cases

suivantes (figure 26):

• Actif sur Green,

• Transparent sur Green,
• Actif + 8 / Actif + 7
Figure 23. Configuration ip réseau Green • Rapports Activés

www.hakin9.org/fr 6
 Tout sur le firewall IPFire
Figure 26. Configuration du proxy web
Puis cliquez sur sauvegarder et redémarrer
Ensuite, toujours dans le Menu, cliquez sur l’onglet SERVICES
et puis là, regardez à droite de votre page le “sidemenu”, cliquez
sur détection d’intrusion vous verrez alors ceci (figure 27):
Figure 27. Configuration du système de détection d’intrusion
Alors ici, ne faites pas n’importe quoi car il a un ordre bien précis :
1 – Coller votre code Oinkcode
2 – Cliquer sur Sauvegarder (attendez quelques temps si
votre curseur tourne laissez tourner)
3 – Cliquer sur “ Télécharger un nouveaux Règlement “ (là
aussi laissez tourner votre curseur)
4 – Cocher Green Snort ET Red Snort
5 – Cliquer de nouveau sur sauvegarder
Une fois ceci fait, vous devriez voir apparaitre une liste de détec-
tion d’intrusion (figure 28), cocher les tous :
Figure 28. Règles du système de détection d’intrusion
Une fois tout coché, cliquez sur mettre à jour. Laissez tourner et
voilà vous avez réussi à configurer déjà une bonne partie d’ip-
7 6/2012
fire. Allez ensuite sur l’onglet RAPPORTS et ensuite cliquer sur
réglages des rapports dans le sidemenu vous aurez à cocher
ces cases comme dans la figure 29 :
Figure 29. Réglage des rapports
Puis faites Sauvegarder
Une fois ceci fait, allez dans l’onglet Pare-feu, on va régler les
règles, cliquez sur pare-feu sortant dans le “sidemenu” vous
aurez alors ceci (figure 30) :
Figure 30. Choix du mode du Pare-feu
Dans votre cas, vous verrez mode zéro (Mode 0), donc il faudra
mettre me mode 1, cliquez sur sauvegarder, vous devriez voir
apparaitre ceci (figure 31):
Figure 31. Configuration du blocage du protocole P2P
Pour ajouter des règles, il faudra cliquer sur le bouton ajouter
une règle afin que vous puissiez paramétrer une règle précise,
ou alors ajouter des règles déjà configurées dans la liste dispo-
nible avec ipfire comme ceci (figure 32) :
En dessous de ce module, vous aurez le choix d’ajouter des
règles déjà incorporées sous ipfire, vous n’aurez qu’a faire un
clic sur le bouton “crayon” celui-ci ajoutera la règle. Par default,
il sera activé mais pour une sécurité maximum ouvrez seule-
ment les ports qui vous intéresse, pour modifier mettre actif ou
inactif, cliquez sur le bouton “crayon plus” éditer et modifier
“connexion”.
 Tout sur le firewall IPFire
Figure 32. Réglages précis du Pare-feu
Ensuite, une fois tout réglé, vous devriez voir ceci en port
ouvert ou fermé (figure 33):
Figure 33. Récapitulatif des ports ouverts et fermés
A retenir : il est important de laisser le port 444 ipfire-https et
80 ouvert sinon vous ne pourrez pas accéder à l’interface web
d’ipfire, et votre Skype ou MSN ne fonctionnera pas, moi per-
sonnellement j’ai ouvert qu’un port.
Remarque : Après plusieurs jours à tester ipfire en long en
large et en travers, nous pouvons constater de nombreux plan-
tage du snort. Nous avons dû identifier chaque service de dé-
tection, faites attention à bien paramétrer le pare-feu par éviter
tous désagréments.
Problèmes et aide
Si au démarrage de votre pare-feu vous obtenez sur votre écran
des [ FAIL ] concernant Starting Détection Red 0 et Green 0 cela
signifie que vous avez mal configuré Snort et que vous n’avez
pas suivi l’ordre de procédure de sa mise en place.
Si vous avez des soucis de connectivité sur un pc branché sur
le switcher, c’est que vous n’avez pas bien configuré la plage ip
de votre carte réseau, car il faudra passer chaque carte en IP
manuelle et non automatique.
Si vous avez des problèmes de connectivité même si vous avez
bien paramétré votre carte réseau en manuelle cela peut être dû à
une mauvaise installation d’ipfire donc il faudra inter-changer l’em-
placement des câbles rj45 de la carte Ethernet red 0 et green 0.
Exemple : le câble rj45 brancher sur red 0 , le brancher sur
green 0 et inversement pour Red 0.
Si vous n’avez pas internet, c’est que vous avez mal configuré
la plage ip par défaut demandé lors de l’installation d’ipfire. Ce
connecter en SSH avec un pc brancher au réseau ipfire, afin d’ef-
fectuer des opérations directement sur le firewall, pour cela voilà
la commande :
www.hakin9.org/fr
Exemple : ssh –p 22 root@l’ipdulan
Sachez qu’il faudra ouvrir le port 22 dans les ports sortant de
votre firewall via l’interphase web
J’ai déjà installé 2 fois ipfire dû à une panne mais je n’arrive plus
à me connecter en ssh car ils me disent qu’il existe un certificat ssh,
pour ce fait allez dans le terminal linux du pc client et taper ceci :
Cd /root/ Cd .ssh/ Nano known_hosts
Cela ouvrira le fichier contenant la clé ssh, effacez tout et faites
ctrl + x , y , et ENTER du clavier. Ainsi, en effectuant de nouveau
la commande ssh, celui ci devrais vous demander si vous voulez
générer une nouvelle clef , vous faites “yes” , et ensuite vous de-
vrez taper le mot de passe de la machine ipfire, vous serez alors
connecter en ssh au pare-feu .
Conclusion
Comme nous venons de le voir, un firewall correctement configurer
permet de vous protéger efficacement contre toutes les menaces
extérieurs. En effet, son principe fondamentale est “Tout ce qui
n’est pas explicitement autorisé est interdit.”
Le firewall IPFire que nous vous avons présenté est, selon nous,
le plus fiable et possède de nombreux avantages. Tout d’abord, ce
firewall s’installe sur tous types de machines. De plus, il est admi-
nistrable à partir de son interface web en français. Ce qui facilite
grandement son utilisation. Son système de log est très complet.
Pour finir, il utilise un IDS efficace nommée SNORT.
Après plusieurs mois d’utilisation, nous lui avons constater au-
cunes faiblesses ni sur une utilisation domestique, ni sur une uti-
lisation professionnelle. IPFire est une excellente alternative aux
Firewall payant et qui remplit parfaitement le cahier des charges
d’un firewall administrable.
M. Tintinger Eric
et M. Ulmann Jonathan
Eric Tintinger, alias SysNetPro, est un jeune passionné par l’informatique depu-
is plus de 12ans. Initialement autodidacte, il a validé ses acquis par le titre pro-
fessionnel AMIR (Assistant en Maintenance Informatique et Réseaux). Ses com-
pétences sont variées : création de site web, assemblage et configuration de se-
rver, mise en place de réseaux informatique complet. Il est orienté surtout sur
les solutions open-sources. C’est également un Hacker White Hat, membre de la
communauté MOH. Pour le contacter : sysnetprosecurity@gmail.com
Jonathan Ulmann, alias Roy’S-Tr@que, est un jeune passionné par les nouvel-
les technologies. De formation autodidacte, il a appris la programmation en
PHP, HTML, Java, Python, VBS, VBNET, .bat. Hacker français et porte parole
actif de la communauté MOH (Mouvement Offensive Hacker), il se fit conna-
itre par le biais de ces nombreuses alertes à la failles sur des sites internet. Po-
ur le contacter : invisibletoils@yahoo.fr
Sur Internet
• http://mohacker.altervista.org/ – Site officiel de la communauté MOH
• http://www.snort.org/ – Site officiel du snort
• http://www.ipfire.org/ – Site officiel du Firewall Ipfire
Terminologie
• DNS : Le Domain Name System (ou DNS, système de noms de doma-
ine) est un service permettant de traduire un nom de domaine en
informations de plusieurs types qui y sont associées, notamment en
adresse IP de la machine portant ce nom.
• DHCP : Dynamic Host Configuration Protocol (DHCP) est un proto-
cole réseau dont le rôle est d’assurer la configuration automatique
des paramètres IP d’une station, notamment en lui affectant auto-
matiquement une adresse IP et un masque de sous-réseau.
8