Professional Documents
Culture Documents
Rseau Rouge 192.168.1.0 Postes et serveurs Rseau LAN 192.168.0.0 Pare Feu IPCOP
Dans le cas du produit IPCOP les deux cartes seront nommes comme suit : Green (verte) pour la liaison LAN Red (Rouge) pour la liaison vers lextrieur (Web, Site distant) Le produit IPCOP est tout fait virtualisable cependant il est recommand de tout de mme disposer de 2 cartes rseau physique sur lhte. 1.2. Cration du support dinstallation : Le fichier tlcharg est de type image CDROM au format ISO (environ 45Mo). Ce dernier doit donc tre grav sur un media de type CD-R ou CD-R/W.
2. Lancement de linstallation :
Une fois le media cre, ce dernier doit tre insr dans le lecteur cdrom du pc hte. Il est alors ncessaire de booter avec ce cd (configuration requise dans le setup du poste).
A cet cran il est possible de dmarrer linstallation en pressant Entre , les options permettent soit de prciser certains paramtres lis au matriels soit de modifier des paramtres tels que la langue dinstallation, ou le partitionnement par dfaut de linstallation.
4 Slectionner sur cet cran la langue dinstallation dIPCOP, dans notre exemple nous choisirons Franais.
Ici le programme nous indique quil va partitionner le disque et installer les fichiers, slectionner Ok puis valider.
Sur cet cran, sil sagit de la premire fois que vous installez IPCOP slectionner Passer (en vous dplaant avec les flches puis en validant votre choix avec la barre despace) puis valider.
Cet cran est primordial dans linstallation dIPCOP car cest ici que allez dfinir votre carte rseau Green (VERTE) lie au LAN. IPCOP dispose dun module de recherche et de configuration automatique pour de nombreuses cartes rseau. Valider alors la fonction de recherche.
Cet cran nous indique quIPCOP a bien trouv et configur une carte rseau sur votre systme. Vrifier que cette dernire correspond bien au matriel prsent dans votre machine et valider.
Sur cet cran vous allez dfinir ladresse IP de votre carte rseau VERTE. Cette adresse doit tre libre dans votre rseau LAN, dans notre exemple nous choisirons ladresse : 192.168.0.254
A cet cran linstallation dIPCOP est termine, nous allons dsormais procder la premire tape de la configuration.
Sur cet cran choisir le clavier correspondant votre disposition de clavier. Dans notre cas choisissons fr-pc puis validons.
Sur cet cran, choisissez le fuseau horaire dans lequel vous vous situez, puis validez.
Saisir sur cet cran le nom dhte de votre machine puis validez, dans notre cas nous gardons le nom par dfaut, savoir ipcop.
10
A cet cran, choisissez le nom de domaine de votre infrastructure rseau, ce dernier peut tre de type FQDN, nous choisirons dans notre exemple bloktout.dom, puis validez.
Cet cran permet de configurer une liaison (Rouge) de type RNIS ou Numris (FT). Aujourdhui rare, nous choisissons de dsactiver cette fonction.
11
Nous allons finaliser la configuration rseau de notre pare-feu. Nous allons alors choisir le type de configuration rseau nous retenons. Valider en pressant entre
12 Afin de correspondre au schma initialement prsent, nous choisissons GREEN+RED (Les autres configurations seront dtailles plus loin), puis nous validons.
Il faut ensuite dfinir les affectations de cartes rseau (Pour la carte Rouge dans notre cas)
13
Nous voyons ici que la carte RED (rouge) nest pas configure. Il faut alors valider ici pour effectuer une recherche de la carte rseau.
Une fois la carte trouve, il nous est propos de laffecter au rseau RED (rouge). Valider ce niveau.
14
15
Ici nous pouvons soit choisir de saisir une adresse IP statique correspondant au rseau rouge (Souvent dans le rseau du routeur), soit de laisse le routeur ou le FAI nous fournir une adresse IP (DHCP) soit passer par les protocoles PPPOE (Point to Point Protocol Over Ethernet) ou PPTP (Point to Point Tunneling Protocol). Dans notre cas nous choisissons Statique et saisissons 192.168.10.1 comme adresse IP Rouge. Nous conservons le masque rseau propos.
16
Nous allons maintenant configurer les adresses des serveurs DNS et de la passerelle que doit interroger IPCOP.
Saisir ici les adresses DNS de votre fournisseur daccs internet, ainsi que ladresse IP (LAN) de votre routeur(box)
17
Il ne reste plus qua dfinir si IPCOP doit tre serveur DHCP ou non.
En fonction de votre architecture, vous pouvez soit activer ou dsactiver DHCP. Si vous lactiver, vous devrez alors connaitre votre plan dadressage IP LAN, afin de crer ltendue DHCP. Dans notre cas nous nactiverons pas le DHCP.
18
Nous avons dsormais termin la configuration Rseau de notre IPCOP, nous pouvons passer la dernire tape consistant configurer les diffrents mot de passe du systme. Valider loption Continuer . Il est fort probable que lcran de configuration DHCP apparaisse de nouveau, valider alors par le bouton OK.
19 Le premier mot de passe que nous devons saisir est celui du compte root savoir le super utilisateur qui vous permet dentrer en mode console sur votre ipcop et surtout de pouvoir installer les AddOns. Si lorsque ce vous saisissez le mot de passe, rien ne saffiche, cest normal
Le second compte appel admin permet quant lui dadministrer IPCOP depuis linterface Web, ce compte ne permet pas douvrir une session en mode console.
20 Enfin le dernier mot de passe permet de protger la cl de cryptage des sauvegardes de configuration dIPCOP.
Si vous arrivez cette page, cest bon signe ! IPCOP doit alors redmarrer
21
3. Accs IPCOP
3.1. Accs local en mode terminal
Lorsque vous arrivez cet cran il vous est possible douvrir une session avec le compte root
22
Vous pouvez alors effectuer les modifications ncessaires et quitter si besoin. Noubliez pas de fermer votre session sur IPCOP avec la commande logout 3.2. Accs distance via un navigateur Internet Pour des raisons que jignore jai pu constater que laffichage des menus tait de meilleure qualit avec Internet Explorer quavec Firefox. Jutilise donc dans ce tutoriel Internet Explorer. Excutez alors votre navigateur internet favori puis saisissez ladresse IP GREEN de votre IPCOP dans la barre dadresse de votre navigateur suivie de :81 comme ci-dessous :
23
Saisir ici le login admin avec le mot de passe configur auparavant. Vous avez dsormais accs toutes les fonctions de votre IPCOP. 3.3. Accs distance via un accs Telnet sur SSH Pour cela nous allons sur la page de configuration Web dans longlet Systme puis accs SSH
24
Il faut alors cocher les case Accs SSH , et autorise le transfert TCP , puis Enregistrer Nous pouvons dsormais utiliser Putty pour administrer notre IPCOP distance : Noter bien la ligne en surbrillance : IPCOP coute sur le port 222 pour SSH et non 22
Tout comme notre navigateur, Putty nous informe quil faut accepter un certificat pour accder a IPCOP, nous rpondons donc Oui.
25
26
27
Nous avons alors ici une interface ou gauche se trouve les fichiers de votre micro, et droite les fichiers de votre IPCOP. Nous allons alors nous positionner dans le rpertoire tmp de lIPCOP. La copie seffectue par un simple Glisser-Coller, nous allons alors slectionner le fichier dinstallation dadvancedProxy puis le glisser vers le rpertoire /tmp de lIPCOP La fentre suivante apparait pour confirmer la copie :
28
Nous constatons que le fichier est bien copi. 4.1.2. Installation de laddon Nous allons alors passer en mode console ou directement sur notre machine pour installer cet add-on. Basculer dans le rpertoire tmp, avec la commande cd /tmp
Commenons par installer lAdvanced Proxy, pour cela il faut tout dabord extraire les fichier de larchive compresse en TAR :
29
Pour lancer linstallation il faut taper la commande suivante : /install comme ci-dessous :
4.1.3. Configuration de Advanced Proxy Lorsque nous retournons dans notre navigateur la page de configuration dIPCOP, nous avons dans longlet Services les fonctionnalits que nous venons dajouter :
30
4.1.3.1.
Afin dutiliser le proxy dans sa configuration initiale, il est impratif de lactiver. Le mode transparent permet de se passer de toute configuration sur les postes clients au niveau des navigateurs internet (paramtrage du proxy). Tout trafic passant par la passerelle IPCOP sera analys par le proxy. Si cette solution peut tre sduisante nous verrons plus loin quelle peut poser quelques problmes dans certains cas. 4.1.3.2. Activation des Logs
Ensuite nous allons activer les Logs de tout ce qui passe par IPCOP :
4.1.3.3.
La section Contrle daccs par le rseau permet de dfinir les rseaux et sous rseau permits pour utiliser IPCOP.
31
Il est galement possible ici de dfinir les IP ou adresses Mac non restreintes ou interdites. Une adresse non restreinte nest pas affecte par la rduction de bande passante par exemple. Une adresse interdite, ne pourra pas accder internet ! 4.1.3.4. Les restrictions de temps
Nous verrons lors de la configuration dUrlFilter une mthode de restriction plus pousse. 4.1.3.5. Les limites de transfert
La section Limites de transfert permet ( confirmer) de donner une limite sur la taille des fichiers en rception et en emission.
La section rduction du tlchargement, permet dallouer de la bande passante globale et/ou par poste client.
Dans cet exemple, le dbit total ENTRANT est de 1024kBit/s soit 128 Ko/s max, et le dbit par hte est de 256kBit/s soit 32Ko/s. Cependant notez bien que ces dbits naffectent que le tlchargement sur http, une personne effectuant du tlchargement via FTP dispose de toute la bande passante disponible ( !) Pour toute modification des paramtres de lAdvancedProxy ne pas oublier de redmarrer le service en cliquant sur Sauver et redmarrer
4.2. Installation de UrlFilter 4.2.1. Transfert du fichier dinstallation Via WinSCP transferer le package AdvancedProxy.x.x.x.tar.gz dans le dossier /tmp de lIPCOP. 4.2.2. Installation de laddon Via lutilitaire Putty, extraire et installer laddon comme suit : Extraire
Installer
33
Linstallation de ladd-on UrlFilter est termine. 4.3. Configuration de UrlFilter Lorsque nous retournons dans notre navigateur la page de configuration dIPCOP, nous avons dans longlet Services les fonctionnalits que nous venons dajouter :
4.3.1. Activation du Filtreur dURL Nous voyons ici que le filtreur dURL est bien disponible, cependant pour lactiver nous devons passer par AdvancedProxy. Section UrlFilter :
34
Et bien sur ne pas oublier denregistrer les changements ! 4.3.1.1. Catgories de blocage
Les catgories de blocage sont des listes de domaines et URL quil est possible de bloquer simplement en cochant la case correspondante. Nous verrons plus bas comment ajouter dautres catgories de blocage. 4.3.1.2. Blacklists personnalises
Dans cette section il est possible dajouter rapidement un domaine ou une URL bloquer. Un domaine est de la forme www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier dactiver les blacklists personnalises ! 4.3.1.3. Whitelistes personnalises
Dans cette section il est possible dajouter rapidement un domaine ou une URL qui serait bloqu par les blacklists par dfaut.
35 Un domaine est de la forme www.monsite.com Une URL sera de la forme http://www.monsite.com/index.php Ne pas oublier dactiver les Whitelistes personnalises ! 4.3.1.4. Liste dexpressions personnalises
Les listes dexpressions personnalises permettent de bloquer des termes apparaissant dans dans une URL sans pour autant bloquer un domaine complet. Par exemple il est possible de bloquer toutes les URL contenant lexpression : /gateway/gateway32.dll ? (pour msn) 4.3.1.5. Bloquer les extensions de fichiers
Cette section permet de bloquer les fichiers excutables (exe, com, bin, bat, cmd) compresss (zip, rar, arj, tar.gz), audio et video (mp3, wav, wma, avi, mpg,) Uniquement par le biais de la navigation HTTP. 4.3.1.6. Contrle daccs bas sur le rseau
Cette section permet de dfinir les adresse IP qui ne doivent pas tre filtres (serveurs) et celle qui doivent tre bannies. 4.3.1.7. Contrle daccs bas sur le temps
36 Si vous cliquer dfinir les contraintes horaires vous arrivez lcran suivant :
Vous pourrez ici dfinir qui peut accder quoi et quel moment de la semaine ou de la journe (ici les postes du rseau 192.168.10.0/24 peuvent accder sans restrictions au contenu internet de 10h00 12h00 du lundi au vendredi.)
On voit quil est galement possible de dfinir des quotas utilisateurs, il sagit l de quotas temps bass sur la dure de connexion. 4.3.1.8. Paramtres des pages bloques
Ici il est possible de paramtrer laffichage de lutilisateur lorsque ce dernier se voit tre bloqu. 4.3.1.9. Paramtres avancs
37
Vous pouvez ici par exemple activer SafeSearch, masquer le message derreur IPCOP pour la catgorie ads (Trs souvent utilise). Vous pouvez galement depuis cette section pallier une ruse des utilisateurs qui consiste saisir lip de lURL bloque plutt que ladresse pour outre passer le filtrage, en cliquant sur bloquer laccs aux sites pour cette (ou ces) adresse(s) IP Enfin cest ici que vous activez les logs pour le filtreur dURL. 4.3.1.10. Ajout massif de Blacklist Pour davantage de filtrage il est conseill dinstaller dautres Blacklist complmentaire celle en place par dfaut. Jai pour ma part choisi les blacklist suivantes : Blacklist de luniversit de Toulouse : ftp://ftp.univtlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz Blacklist Shalla Secure Services : http://www.shallalist.de/Downloads/shallalist.tar.gz La combinaison de ces deux blacklists permet un filtrage assez pouss comme le dmontre la nouvelle liste de catgories alors disponible :
38
4.3.1.11. Installation des blacklists Dans le bas de cette page il nous est possible duploader un fichier de blacklist :
En cliquant sur parcourir, nous allons allez chercher notre fichier de blacklist :
39
Puis on clique sur charger la blacklist. En fonction de la blacklist et de la puissance de la machine cette opration peut prendre de 1 10 minutes ! Ne surtout pas redmarrer votre IPCOP pendant cette priode !!! Une fois termine cette opration, nous constatons que la liste des catgories a volu de faon significative :
40
5. Configuration de lauthentification :
Il est possible dans IPCOP de procder lidentification des utilisateurs dInternet. Cependant pour activer cette fonction, plusieurs points sont prendre en considration : Le mode Proxy Transparent doit tre dsactiv Les postes clients doivent donc tre configurs pour passer travers le proxy
Plusieurs mthodes dauthentification sont disponibles sous IPCOP : Dans le bas de la fentre de configuration du Proxy Avanc nous avons :
None Lauthentification est dsactive, aucun login/mot de passe nest demand. Local Authentication Cette mthode dauthentification est la prfre des petites structures, la gestion des utilisateurs et mot de passe est effectue par IPCOP lui-mme. Authentication avec identd Cette mthode est particulirement prise pour les entreprise ou lauthentication doit se faire de manire masque le proxy doit fonctionner en mode transparent Les login utilisateurs sont davantage utiliss pour les log que pour une rlle authentification. Cette mthode requiert cependant linstallation dun client idend sur les postes clients (surtout Microsoft) Authentication utilisant LDAP Cette mthode est la plus utilise pour les rseau de moyenne et grande taille. Les utilisateurs devront sauthentifier lors de laccs aux site web par un couple login / Mot de passe Les informations sont alors vrifes, par un serveur LDAP externe Advanced Proxy fonctionne avec ces type de serveurs LDAP : Active Directory (Windows 2000 and 2003 Server) Novell eDirectory (NetWare 5.x und NetWare 6) LDAP Version 2 and 3 (OpenLDAP)
41 Note: le protocole LDAPS (Secure LDAP) nest pas support par Advanced Proxy. Windows authentication Les utilisateurs doivent sauthentifier lorsquisl accdent au web, les informations didentification sont vrifie par une contrleur de domaine externe tel que : Windows NT 4.0 Server or Windows 2000/2003 Server Samba 2.x / 3.x Server (running as Domain Controller) RADIUS authentication Les utilisateurs doivent sauthentifier lorsquils accdent au web, les informations didentification sont vrifies par serveur RADIUS externe : Dans notre cas nous allons utiliser lauthentification Locale. Nous devons donc dans notre cas dsactiver le mode transparent, et cocher loption locale
Nous pouvons donc ds maintenant grer nos utilisateurs en cliquant sur Gestion des utilisateurs :
Dans la partie droite de cette fentre nous avons la possibilit daffecter 1 groupe parmi 3 chaque utilisateur : Standard : Toutes les restrictions sont actives tout le temps Etendu : Les membres de ce groupe outrepassent les restrictions Dsactiv : Permet de dsactiver un compte sans le supprimer Une fois les utilisateurs cres, ils apparaissent comme ci-dessous :
42
Maintenant passons la configuration du navigateur client : Il sagit de configurer la navigateur pour passer travers le proxy : Pour Internet Explorer :
43 Lutilisateur peut alors changer son mot de passe ladresse suivante : http://adresse-ip-verte-ipcop:81/cgi-bin/chpasswd.cgi
44
6.1.1. Transfert du fichier dinstallation Via WinSCP transferer le package Ipcop-updatexlrator.x.x.x.tar.gz dans le dossier /tmp de lIPCOP. 6.1.2. Installation de laddon Via lutilitaire Putty, extraire et installer laddon comme suit : Extraire
Installer
45
6.1.3. Configuration dupdate accelerator Une fois install laddon se trouve dans le menu SERVICES dIPCOP :
Cependant pour activer la fonction de cet addon il est impratif de passer par le Proxy Avanc :
Une fois activ une des seules actions mener est de vrifier lespace disque disponible de faon rgulire en cliquant sur Maintenance.
6.2. Installation de Sarg Sarg est un outils de journalisation des activits de navigation au travers dun proxy Squid. Une version spciale IPCOP t dveloppe, nous allons procder son installation et visualiser quelques logs (disponibles partir dun minimum de 24 heures) 6.2.1. Transfert du fichier dinstallation Via WinSCP transferer le package sarg_ipcop.x.x.x.tar.gz dans le dossier /tmp de lIPCOP. 6.2.2. Installation de laddon Via lutilitaire Putty, extraire et installer laddon comme suit : Extraire
Installer
47
6.2.3. Visualisation de journaux IPCOP Sarg est alors disponible via longlet Journaux dIPCOP :
48 6.3. Installation de BlockOutTraffic (BOT) Par dfaut IPCOP filtre tous les paquets entrant par le biais de sa fonction principale savoir Pare-Feu. Or lors dune utilisation en entreprise laccs Internet de cette dernire est parfois (voir souvent !) utilise des fins peu scrupuleuses par certains utilisateurs. Jusqu' maintenant IPCOP autorise la quasi-totalit des services en sortie, y compris le Peer 2 Peer, les prises de main distance, le ftp. BlockOutTraffic permet de contrler davantage ce qui sort de notre IPCOP. Dans notre exemple nous allons voir les points suivants : Crer les rgles de base pour accder au web Autoriser certains services Affiner les droits utilisateurs Crer des groupes dordinateurs et leur affecter des rgles diffrentes 6.3.1. Transfert du fichier dinstallation Via WinSCP transferer le package BlockOutTraffic.x.x.x.tar.gz dans le dossier /tmp/BOT de lIPCOP. 6.3.2. Installation de laddon Via lutilitaire Putty, extraire et installer laddon comme suit : Extraire
Installer
49 6.3.3. Configuration de BOT La premire action mener est de se rendre dans longlet Pare-Feu puis Grer le traffic sortant :
Il faut alors cliquer sur le bouton Modifier Saisir les informations suivantes
Ladresse MAC du pc dadministration, sans cette dernire, vous ne pourrez pas administrer votre IPCOP sur le port 81. Le port https dadministration : 445 Cochez la case Lien autoris, connexions tablies Cochez la case Journaliser les paquets ne correspondant pas une rgle de BlockOutTraffic Action de refus par dfaut : DROP
50 Cochez la case du mode avanc Cochez la case afficher les couleurs dinterfaces dans laperu des rgles Puis enregistrer. La configuration de BOT ressemble alors ceci :
6.3.3.1.
A partir de ce point nous allons devoir crer quelques services lis au fonctionnement dIPCOP. Afin de pouvoir utiliser les services dIPCOP et du filtrage et sera tout dabord impratif de donner quelques droits aux utilisateurs du rseau local. Pour cela rendez vous dans Pare-Feu, puis Configuration Avance du BOT :
Nous allons ici crer des services propres IPCOP : Un service SSH_IPCOP, permettant laccs la machine IPCOP par le biais du protocole SSH sur le port 222 (par dfaut) Un service PROXY_IPCOP, permettant dutiliser les services Proxy dIPCOP via le le port 800 (par dfaut) Un Service HTTPS_IPCOP, permettant laccs la configuration web de lIPCOP via le port 445 (dfinit par dfaut)
51
Saffiche alors la liste des services ajouts (vide par dfaut) ainsi que la liste des services par dfaut.
Ajout du service SSH_IPCOP : Saisir le nom du service, puis le port correspondant enfin le protocole utilis puis Ajouter
Une fois les services ajouts la rubrique services doit ressembler ceci :
6.3.3.2.
Afin prochainement de simplifier la cration et la gestion des rgles de filtrage, nous allons regrouper ces services dans un groupe afin de ne faire quune rgle daccs pour ces 3 services. Pour cela choisir la rubrique Rglages pour grouper :
52 Sous cette section nous avons la section permettant de crer des groupements de services :
Nous allons crer les groupements suivants : ACCES_IPCOP : Ce groupe intgrera les services SSH_IPCOP, HTTPS_IPCOP, PROXY_IPCOP NAVIG_NORM : Ce groupe intgrera les services http(80), dns(53), pop3(110), smtp(25), ftp(21), ftp-data(20), permettant une navigation sur le web standard accompagne de la possibilit de consultation de mail depuis un client en POP/SMTP et galement la possibilit dchanger des fichiers en FTP.
6.3.3.3.
Nous avons dsormais cre nos groupement de services afin de simplifier la gestion des rgles. Nous allons dsormais crer les rgles daccs Internet. Notez bien que la rgle par dfaut interdit tout trafic Le fonctionnement dune rgle de filtrage est le suivant sur IPCOP : Il faut dfinir, linterface dentre de la rgle (celle sur laquelle le rseau source est connecte, souvent GREEN), puis le rseau Source, ventuellement le port source, puis dfinir sil sagit dune rgle daccs IPCOP ou daccs un autre rseau (web), par quelle interface la sortie doit seffectuer (souvent RED), le rseau de destination, et le service ou groupement de service utilis. Enfin on active ou non la rgle.
Ajoutons la rgle ayant pour action daccepter le trafic vers IPCOP, en cliquant sur Nouvelle rgle. Configuration de la source :
Interface par dfaut : Green Rseau par dfaut : Green Network Configuration de la destination :
Cocher service utilis, puis choisir Regroupement de services et slectionner ACCES_IPCOP Rglages supplmentaires :
Bien penser cocher Rgle active Dfinir laction de la rgle Saisir un commentaire pour la rgle Dsactiver les options de Match*
Cliquer alors sur Suivant pour visualiser votre rgle avant de lenregistrer, enregistrer directement si vous tes sur de vous !
56
La rgle que vous venez de crer est alors visible dans les rgles actuelles :
6.3.3.4.
Ajoutons maintenant la rgle ayant pour action daccepter le trafic vers Internet, en cliquant sur Nouvelle rgle. Configuration de la source :
Interface par dfaut : Green Rseau par dfaut : Green Network Configuration de la destination :
57
Cocher : autre rseau Rseau par dfaut : Any Configuration du ou des services utiliss :
Cocher : Service utilis Regroupement de services : NAVIG_NORM Enregistrer. Les deux rgles que nous venons de crer :
A partir de ce point nous devons pouvoir activer BOT et tester la navigation. Cliquer sur paramtres :
Si tout sest bien droul jusque l vous devez pouvoir naviguer sur Internet, echanger des mails via pop/smtp et faire du ftp (Mode Actif uniquement). Par contre vous ne devez pas pouvoir vous rendre sur une page HTTPS
58
Si vous dsirez autoriser le https, il suffit de se rendre dans Configuration avance du BOT, puis rglages pour grouper :
Cette modification est immdiate pour les utilisateurs. 6.3.3.5. Crer des groupes dordinateurs
59 Dans ltat actuel dIPCOP tout le monde y compris les serveurs et les admins disposent des droits de navigation identiques, cela peut dans certains cas savrer peu pratique (Mise jour dun serveur AntiVirus par exemple) Dans ce chapitre nous allons donc voir comment affecter des services diffrents diffrents ordinateurs voir groupe dordinateurs. Pour cela nous prendrons lexemple suivant : Un espace de formation, compos de 14 postes stagiaires et dun poste formateur. Les 14 postes disposent des droits que nous venons de mettre en place, le formateur peut utiliser nimporte quel service Internet. Si dautres ordinateurs se connectent au rseau local, ces derniers ne doivent uniquement pouvoir naviguer en http. Afin de diffrentier les postes de travail de manire intelligente, nous allons utiliser les adresses MAC des cartes rseau et non les adresses IP (plus pratique si vous utilisez un serveur DHCP sur votre rseau). Pour saisir les adresses MAC des ordinateurs rendez vous dans Configuration avance du BOT, puis rglages dadresses :
Saisir un nom de poste (pas ncessairement le nom Netbios du poste) puis choisir MAC comme format dadresse et saisir ladresse MAC.
60 Une fois les postes cres, vous pouvez alors vous rendre dans paramtres txt du regroupement dadresses :
6.3.3.6.
Configuration de la source :
Configuration de la destination :
61
Remarque : Il est possible de modifier lordre dexcution des rgles ici : 6.3.3.7. Modification de la rgle pour les stagiaires :
Nous pouvons ds lors modifier la rgle existante (la numro ci-dessus) pour que seuls les pc du groupe PC-STAGIAIRES puissent utiliser les services configurs. Il suffit de cliquer sur le bouton modifier et de changer la source :
62
Puis denregistrer. Enfin il est possible de crer une nouvelle rgle permettant par exemple uniquement la navigation http pour tous les autres pc qui se connectent au rseau :
Pour cela nous avons du recrer un groupe de services appel NAVIG_MINI comprenant les services domain(53) et http(80) uniquement. Voici les regroupements que vous devez avoir si vous avez suivi ce tutoriel dans son intgralit jusqu' maintenant :