Nous avons vu jusqu’ici comment configurer les interfaces d’un routeur pour créer des routes entres les réseaux. Il est temps maintenant de s'intéresser plus particulièrement au firewall. Cet outil est indispensable pour sécuriser votre architecture. Nous allons voir ensemble comment le télécharger, l’importer et bien sûr le configurer.
Configurez votre firewall
Votre ami peut maintenant avoir accès à son serveur et est en mesure de créer des règles de sécurité. C’est justement ce qu’il vous demande. En effet, il souhaiterait que seul l'administrateur ait accès au serveur et que les autres membres de l’entreprise ne puissent pas y accéder.
Vous allez voir que la règle est toute simple mais qu’elle demande un petit changement quant à votre architecture. En effet, la règle consistera à dire au firewall: “Bloque le traffic entre le LAN et OPT1 sauf pour l’adresse IP XXX.XXX.XXX.XXX”. Alors, vous vous dites qu’il suffit de donner l’adresse de votre poste, et vous avez raison, mais votre poste est configuré en DHCP ce qui veut dire que son adresse n’est pas garantie dans le temps. Elle peut et va changer de temps en temps.
Vous l'avez compris : vous allez configurer l’adresse en statique, mais pour mieux contrôler votre réseau vous allez le faire depuis le routeur et non pas depuis votre poste. En d’autres termes, c’est le routeur qui va donner une adresse statique à votre poste.
Configurez votre poste en statique depuis le routeur
Pour cela, rendez-vous sur l’interface du routeur depuis votre poste :
Allez dans Service-> DHCP serveur -> LAN ;
Et tout en bas dans “DHCP static mapping for this interface” ;
Cliquez sur Add puis cliquez sur “Copy My Mac” (c’est la vôtre que vous voulez ajouter ) ;
Ajoutez une adresse en dehors du DHCP, donc au-dessus de 192.168.1.100 dans votre cas ;
Donnez-lui un nom ;
Cliquez sur Save et Validez les modifications ;
Pour finir, relancez le service DHCP.
Votre poste aura maintenant l’assurance d’avoir la même adresse (192.168.1.101) à chaque redémarrage. Cette étape finalisée, vous pouvez ajouter une règle firewall pour empêcher les utilisateurs autres que vous d’accéder au serveur.
Ajoutez une règle firewall pour bloquer l’accès au serveur
La règle que vous voulez créer veut dire que l’interface LAN doit bloquer tous les paquets venant du LAN à destination du réseau OPT1.
Rendez-vous sur :
Firewall -> rules -> LAN ;
Ajoutez une règle reject sur l’interface LAN avec comme source LAN.net et comme destination OPT1.net ;
N'oubliez-pas de lui donner un nom explicite. Un nom explicite vous permettra de vous y retrouver quand vous, ou une autre personne, devrez intervenir dessus.
Placez-la en deuxième position. En effet, les règles de firewall se lisent dans un ordre défini. Ainsi, si vous mettez en première position une règle qui autorise l’accès puis une qui l’interdit, l’accès sera autorisé. Si vous changez cette ordre, l’accès sera refusé.
Retentez de faire un ping depuis votre poste vers le routeur. Ça ne fonctionne pas !
Très bien vous savez donc bloquer le trafic d’un réseau à un autre mais maintenant même l’AIC n’y a plus accès. Changeons cela !
N’autorisez l’accès au réseau OPT1 uniquement à l’AIC
La règle que vous allez créer veut dire : autoriser l’accès du réseau LAN vers le réseau OPT1 uniquement à l’utilisateur 192.168.1.101 (l’AIC). Cette règle sera en tête des règles. Elles seront lues de cette façon :
L’utilisateur 192.168.1.101 a le droit d’aller sur OPT1.
Personne n’a le droit d’aller sur OPT1.
De cette façon, l’administrateur (AIC) passe la première règle et peut se connecter au serveur. Les autres utilisateurs ne passeront pas la première règle et seront rejetés par la seconde.
Et pour cela :
Cochez la règle Reject que vous venez de créer ;
Cliquez sur Add (flèche du haut pour créer une règle en dessus) ;
Ajoutez Action = PASS, Interface=LAN, Source=192.168.1.101, Destination OPT1 comme ceci :
Validez et sauvegardez.
Vous pouvez être fier de vous, l’accès au serveur est maintenant limité à l’AIC c’est-à-dire, à vous !
Ce qu’il faut retenir
Il est possible de configurer certains postes avec une adresse statique depuis le serveur DHCP, cette adresse étant utilisée dans des règles du firewall.
Les règles du firewall sont lues dans un ordre précis.
L’ordre des règles du firewall influe sur le résultat.
Une règle PASS autorise l’accès, une règle BLOCK ou REJECT l’interdit.
Il faut donner des noms explicites aux règles de firewall pour pouvoir mieux s’y retrouver.
