Ipfire

15/01/2018 Non Par cborne

L’an dernier, je devais être dans une grosse période d’ennui, j’avais décidé de monter une pirate box pour travailler autrement avec mes élèves. Je vous rappelle le principe de la pirate box, il s’agit tout simplement de monter des services web dans un réseau local. J’avais acheté un TL-WR802N c’est à dire un point d’accès wifi de voyage de chez TP-Link, bien fait comme tous les produits TP-Link. Il s’agissait à l’époque de pallier une carence de mon réseau Wifi au lycée avec trop peu de débit et de permettre aux élèves de récupérer les logiciels comme scratch ou algobox directement sur mon ordinateur portable sans passer par l’internet. Cette année les choses sont différentes, l’opération Lordi ne se fait plus chez nous, on a monté la puissance de l’internet, mais surtout l’opération Lordi ne se fait plus chez nous, si bien que je passerai par les salles informatiques où tout est installé.

J’avais donc cet appareil qui ne servait à rien, j’ai fait honteusement 10 € d’investissement dans une carte réseau en PCI express et nous voilà dans la situation suivante

Concrètement :

  • une carte réseau reliée directement à la box sur une adresse 192.168.1.x qui me permet d’avoir l’internet
  • une carte réseau supplémentaire reliée au point d’accès, j’ai forcé le point d’accès en 192.168.10.2 et ma carte réseau en 192.168.10.1 pour une passerelle en 192.168.10.1. Très subtil, je déconnecte la carte dans networkmanager.
  • un dongle Wifi pour tester le réseau qui est mis en place.

Au lycée je suis mécontent du portail captif qu’on nous installé que je trouve pauvre, et j’avais envie de faire le tour des solutions présentes. Le problème quand vous voulez tester un portail captif, proxy, ce que vous voulez, c’est qu’il vous faut une entrée et une sortie. L’entrée c’est l’internet que me fournit orange, la sortie c’est la borne Wifi au travers de la seconde carte réseau. N’ayant pas la volonté de me faire quelque chose de complexe à la main, ce sont les solutions du marché que je voulais étudier, j’ai donc fait le choix de la virtualisation.

On pense souvent que la virtualisation domestique ne sert qu’à faire du test de distribution, on peut faire jouer un rôle bien réel à une distribution Linux à la condition de la mettre dans le même réseau, il faudra donc veiller à positionner vos cartes réseaux en accès par pont de la façon suivante.

J’ouvre une parenthèse pour vous raconter que la vie parfois est mal faite. Le chipset que j’ai acheté est exactement le même que la carte réseau intégrée dans mon PC, applaudissez l’artiste. Forcément quand dans Ipfire plus loin on demande d’associer une adresse IP à une carte, une chance sur deux, vous vous doutez que j’ai pris la mauvaise. Au lieu de faire la modification dans Ipfire ce qui peut être parfois délicat, il suffit dans carte 1 et dans carte 2 de changer le nom de la carte.

Ipfire est une distribution Linux Allemande qui montre que le fork peut réussir à dépasser l’original. A l’époque dans le Cantal ce qui nous ne rajeunit pas, j’utilisais Ipcop. Mon serveur est tombé raide mort et Ipcop n’avait pas été mise à jour, un noyau 2 qui fait que le matériel que j’avais acheté n’était pas compatible, trop récent pour être supporté, j’ai dû m’orienter vers Ipfire. Ipfire était décriée car elle ne citait pas les créateurs d’Ipcop, les relations entre l’original et le fork étaient tendues. Le travail réalisé par l’équipe d’Ipfire a été tellement conséquent, que le fork a dépassé l’original et de loin. Ipfire est une distribution tout en un dont le but est de faire un pare-feu. C’est le genre de distribution adaptée à l’éducation car elle permet de séparer l’entrée, c’est à dire l’internet, en deux réseaux physiquement distincts, le pédagogique et l’administratif. Il est possible de rajouter des options comme un portail captif ou un contrôle parental, on est bien dans un cadre adapté à l’école.

Vous noterez d’ailleurs que la solution que je propose est ici limitée, il me faudrait trois cartes réseaux pour une gestion complète par Ipfire : une carte d’entrée pour l’internet, une carte de sortie pour le réseau administratif, une carte de sortie pour le réseau pédagogique, c’est comme cela que tourne l’établissement du Cep d’Or de Clermont l’Hérault avec un serveur installé depuis maintenant sept ans qui n’a pas bougé. Dans mon lycée, bien plus gros, bien plus complexe, le réseau administratif est géré autrement, le réseau élève finit dans un serveur Linux géré par une distribution Linux appelée Coova. Dans une structure familiale, ce que je propose est suffisant, les parents pour réseau « administratif » utilisent directement celui de la box de la maison sans aucun traitement, les enfants passent par une machine qui a deux cartes, l’entrée qui donne l’internet, la sortie qui est réglementée par Ipfire, c’est cette structure que je vous propose aujourd’hui.

Télécharger l’iso de ipfire sur le site officiel, paramétrez votre machine virtuelle comme je l’ai fait plus haut avec deux cartes. L’installation se fait pas à pas avec les écrans suivants. Je n’ai pas noté les écrans concernant le paramétrage du clavier ou de la langue pour ne conserver que les écrans plus délicats.

 

Avoir conservé les deux écrans précédents n’est pas anodin, il y a une distinction entre le root administrateur de la machine en ligne de commande et l’admin qui administre la machine par le biais de la passerelle https://ip.de.la.machine:444. Le ssh n’est pas accessible par défaut, il faudra l’activer depuis la passerelle, le port par défaut est le 222, l’utilisateur est root.

L’écran ci-dessus correspond à l’écran de base, c’est le cœur de l’installation.

Type de configuration réseau est en lien étroit avec le nombre de cartes réseaux. ROUGE est obligatoire, il s’agit de la carte réseau qui sera connectée à votre box. VERT de façon théorique c’est le LAN, c’est ici que devrait se trouver votre administratif. Le ORANGE c’est la zone démilitarisée ou DMZ qui correspond à un réseau privé interne, enfin le BLEU pour le WIFI. Dans mon cas réduit, j’aurai du rouge pour l’entrée du net, et du vert car je n’ai pas d’autre choix pour la carte qui est connectée à la petite borne WIFI.

Comme je l’expliquais plus haut, j’ai le problème particulier d’avoir le même type de carte réseau si bien qu’il m’est difficile de savoir qui est relié à la box, qui est relié au petit routeur. Pour vérifier si on s’est planté, c’est très simple, quand la machine virtuelle redémarre, si elle n’arrive pas à se connecter au serveur de temps c’est que vous avez inversé les deux cartes réseaux. Il s’agissait d’affectation des pilotes et des cartes.

Les DNS sont celles que j’ai récupérées directement au niveau de ma box, l’adresse IP est le 192.168.1.1, l’adresse de la box par défaut.

Enfin dernier point le serveur DHCP que je gère au niveau du serveur et pas au niveau du petit routeur. La passerelle est en 10.1 c’est à dire la carte réseau, je me suis octroyé 50 appareils, ce qui laisse de la marge. Ipfire est installée et fonctionnelle, quand on a pris le coup c’est une histoire de 10 minutes, installation comprise.

Voici l’écran de la passerelle. C’est ici qu’on fera les réglages d’Ipfire, il n’y a théoriquement aucune nécessité d’utiliser la ligne de commande.

Si vous avez besoin d’accéder à SSH. Système – Accès SSH.

Dans Réseau – Proxy Web, on peut faire de nombreuses manipulations : gestion du cache, poser des restrictions horaires, gérer la quantité de téléchargement, bloquer des catégories de fichiers comme les binaires, les isos ou les fichiers multimédias. Dans Réseau – Filtre de contenu, c’est ici qu’on va poser le contrôle parental. Si vous descendez, vous avez le choix de la source de la liste noire. L’université de Toulouse maintient depuis des années une liste de sites interdits assez conséquente. Il faudra dans Proxy Web activer le filtre web.

Pour bloquer une catégorie, il suffit de cocher la case désirée.

Les possibilités par défaut de Ipfire sont nombreuses. La distribution de plus est réalisée from scratch, elle permet de rajouter des paquets supplémentaires, officiels mais aussi communautaires. Dans le menu Ipfire – Packfire, on a une liste des paquets qu’on peut rajouter.

D’autres options existent, le VPN, le blocage de protocoles, la création d’un portail captif etc … Ipfire pour certains choix dans votre infrastructure fait partie des options à considérer.