DU Chef de projet informatique en environnement territorial Ateliers UNIX version 1.1 Franck Corsini Installation de Fwbuilder Installation fwbuilder Page 1 sur 11
Copyright (c) 2007-2008 Franck Corsini. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". Installation fwbuilder Page 2 sur 11
Table des matières 1Installation de fwbuilder...4 1.1Type d'installation...4 1.2Installation du produit...4 1.2.1Récupération des paquetages rpm...4 1.2.2Installation des paquets...4 1.2.3Test de l'installation...5 2 Création d'un firewall...6 2.1Préparation...6 2.2Création des règles...6 2.2.1Compilation de la politique de filtrage...8 2.2.2Installation de la politique de filtrage...8 2.2.3Activer la politique de filtrage au démarrage...10 3Modification de la politique par défaut...11 3.1Ajout du service httpd...11 3.2Ajout du service cupsd...11 Installation fwbuilder Page 3 sur 11
1 Installation de fwbuilder 1.1 Type d'installation On fera une installation de type host : filtrage sur la machine. 1.2 Installation du produit Vérifier en permier lieu si la machine virtuelle dispose bien d'un @ IP sinon : # systeme-config-network # service network start On vérifie s'il est possible de l'installer via yum # yum search fwbuilder Pas disponible malheuseusement : il faut l'installer autrement. Vérifier sur le site du produit s'il existe des paquetages rpm pour la distribution de notre machine virtuelle. Attention : concernant le nommage des distributions, la machine virtuelle utilisée pour installer fwbuilder est une centos 5.2 Elle correspond en fait à une Red Hat Entreprise 5.2 Les fichiers rpm doivent faire apparaître el5 ou rhel5 ou rh5 dans leur nom. 1.2.1 Récupération des paquetages rpm Pour simplifier les paquetage sont disponibles localement # wget http://www.formation.jussieu.fr/~corsini/fwbuilder/fwbuilder-3.0.2-b676.el5.i386.rpm # wget http://www.formation.jussieu.fr/~corsini/fwbuilder/libfwbuilder-3.0.2-b676.el5.i386.rpm 1.2.2 Installation des paquets # rpm -ivh fwbuilder-3.0.2-b676.el5.i386.rpm libfwbuilder-3.0.2-b676.el5.i386.rpm Il manque quelquechose pour que cela s'installe : le fichier libnetsnmp.so.10 Vérifier ce que voous propose la commande rpm pour résoudre le problème. D'une manière générale, pour rechercher quel paquet fournit un fichier, on utilise yum avec l'option whatprovides ou provides # yum whatprovides libnetsnmp.so.10 Les réponses nous disent que ce fichier exsite dans le paquet net-snmp-libs.i386 On l'installe avec yum : # yum -y install net-snmp-libs.i386... puis on réinstalle fwbuilder avec la commande précédante Installation fwbuilder Page 4 sur 11
Il manque tout l'environnement X pour répondre à un serveur X donc pour simplifier on installe le serveur X11 de Xorg : # yum -y groupinstall «X Window System» C'est de trop visiblement mais cela permet à fwbuilder de fonctionner! 1.2.3 Test de l'installation Fwbuilder est une application graphique développée avec qt. Pour pouvoir ouvrir l'application, il faut le faire depuis une machine dispose d'une interface graphique donc pour nous depuis l'os hôte invité Mandriva 2007. 1. Ouvrir une session ssh vers la machine virutelle et lancer fwbuilder $ ssh -X root@10.0.0.130 # fwbuilder & Installation fwbuilder Page 5 sur 11
2 Création d'un firewall Durant cet atelier, vous allez installer l'outil fwbuilder et mettre en place une politique de filtrage afin de réduire le trafic réseau aux protocoles que vous avez étudié dans les ateliers précédents: nfs, smb et ssh. Vous devrez faire évoluer cette politique pour prendre en compte les services abordés dans les ateliers suivants. Les premières manipulations de cet atelier visent à «préparer le terrain» avant d'entrer dans le vif du sujet.. 2.1 Préparation Créer le dossier /etc/firewall.conf. Il contiendra le script d'application des règles iptables 2.2 Création des règles 1. Créer un nouveau fichier objet fwbuilder qui contiendra les les définitions de règles pour plusieurs firewall - Menu Fichier -> Nouveau fixchier objet -> cdp - 2. Créer un nouvel objet firewall - sélectionner l'objet firewall - clic droit - Choisir l'option «Nouveau Firewall» Modifier les valeurs suivantes dans le dialogue : - Nom de l'objet : serveur - Firewall : iptables - OS : Linux 2.4/2.6 - Sélectionner la case «Use preconfigurated template firewall objects» - «Next» - Dans le dialogue suivant sélectionner le modèle «hostfw template1» - «Finish» - Les règles par défaut pour ce modèle de machine apparaissent. Installation fwbuilder Page 6 sur 11
3. Commentaire sur les Règles présentées par défaut 4. Configuration de l'objet firewall serveur - Double-Cliquer sur l'obet firewall «serveur» - Cliquer sur «Configuration du firewall» - Cliquer sur l'onglet «Installeur» - Modifier le répertoire «Directory with firewall...» avec «/etc/firewall» -»Ok» - Fermer cette fenêtre - Développer l'objet serveur (en cliquent sur le «+») - Sélectionner l'interface «outside (dyn ext)» et clic droit dessus - Choisir l'option «Edition» Dans le dialogue de configuration de l'interface : - Cliquer sur «Interface matérielle» - Sélectionner «Interface de gestion» - «Appliquer les changements» - Fermer la fenêtre «Interface» - Sélectionner l'interface «outside (ext)» et clic droit dessus - Choisir l'option «Ajouter une adresse IP» - Renseigner les zones Adresse IP et masque de réseau en fonction de votre configuration réseau - «Appliquer les changements» - Fermer la fenêtre «Ipv4» Installation fwbuilder Page 7 sur 11
2.2.1 Compilation de la politique de filtrage 1. Sélectionner le firewall serveur 2. Cliquer sur le bouton «Compiler» 2.2.2 Installation de la politique de filtrage 1. Sélectionner le firewall serveur 2. Cliquer sur le bouton «Installer» - saisir comme nom d'utilisateur pour l'installation : root - saisir le mot de passe de root Installation fwbuilder Page 8 sur 11
3. «Finish» 4. A ce stade, la nouvelle politique de filtrage est installée et active jusqu'au prochain démarrage de la machine. - vérifier que le script est installé dans /etc/firewall et porte le nom de serveur.fw - vérifier que les règles sont actives (sous l'identité de root): # /sbin/iptables -L INPUT Installation fwbuilder Page 9 sur 11
2.2.3 Activer la politique de filtrage au démarrage 1. Désactiver le démarrage automatique du scipt iptables # chkconfig iptables off 2. Modifier le script /etc/rc.d/rc.local et ajouter la ligne suivante : /etc/firewall/serveur.fw Installation fwbuilder Page 10 sur 11
3 Modification de la politique par défaut 3.1 Ajout du service httpd Démo en TD 3.2 Ajout du service cupsd Démo en TD Installation fwbuilder Page 11 sur 11