La configuration parfaite de la passerelle Zentyal1. Présentation Zentyal est un serveur Linux SMB (Small and Medium Business), il vous permet de gérer tous vos services de réseau à travers une seule plateforme. Zentyal peut etre configurer comme une passerelle réseau, une infrastructure, UTM (Unified Threat Manager), ou un Office Communications Server. Toutes ces fonctionnalités sont totalement intégrées et faciles à configurer, il permet un vrai gain de temps aux administrateurs système. Dans ce tutoriel, vous allez voir comment mettre en place Zentyal configuré comme passerelle. Zentyal fournira l'infrastructure réseau de base, l'équilibrage de charge entre deux fournisseurs d'accès Internet, pare-feu et la mise en cache proxy HTTP et le filtrage de contenu. Toutes ces étapes sont bien expliquées dans la documentation Zentyal, dont le lecture est vivement recommandée. Noter que pour configurer une passerelle votre machine devra être équipé d’au moins 2 interfaces réseaux physique (2 ethernet ou 1 ethernet et 1 wifi) Dans ce tutorial, nous utiliserons le modèle suivant: Il y a deux façons d'installer Zentyal: 1.04. En utilisant l'installateur Zentyal que vous pouvez télécharger à partir du site Web du projet . Installez les paquets Zentyal sur Ubuntu Server 10. 2. C'est le choix recommandé. vous pouvez trouver les informations détaillées et l'URL du référentiel dans le Guide d'installation Zentyal .2. Vous pouvez jeter un oeil à la page matérielle Ubuntu-certifié pour plus d'informations.04 afin qu'il fonctionne sur le même matériel. Installation Zentyal tourne sur Ubuntu Server 10. il comprend toutes les dépendances de package pour l'installation hors ligne et permet également une configuration personnalisée. . Vous pouvez choisir les paramètres par défaut dans le mode expert egalement. vmware. ou encore KVM. l’installateur vous guidera tout au long du processus. L’équipe zentyal fourni les image pour VirtualBox. Noter que Zentyal peut etre également installer comme une machine virtuelle.. vous verrez cet écran lors du démarrage à partir du CD-ROM. laquelle sera accessible depuis n’importe quel poste de votre réseau interne (et externe après l’ouverture du port dans le parefeu) à condition d’utiliser Google Chrome ou Firefox (l’adresse du serveur Zentyal sera de la forme https://adresseipduserveurzentyal/) . Zentyal fournit une interface web d'administration.Si vous installez Zentyal utilisant l'installateur. . Maintenant nous pouvons sélectionner les paquets que vous souhaitez installer. . Nous installerons plus tard les modules DHCP et DNS en utilisant le module de gestion des logiciels. nous allons installer les paquets correspondant à la passerelle. Le nom d'utilisateur et le mot de passe sont les mêmes que vous avez saisie lors de l'installation. Pour ce tutoriel. Nous pouvons ignorer la configuration du réseau pour . les interfaces réseaux et le serveur LDAP.Après cette étape tous les packages nécessaires à la configuration de la passerelle sont installés. L’installation vous guide à travers des assistants de configuration pour les modules venant d’être installés. dans ce cas. Pour le module de configuration LDAP. .l'instant. Notez que Zentyal sera capable d’etre un serveur Esclave d’un autre serveur Zentyal ou encore. Nous verrons ces configuations avancées dans un autre tutoriel. nous choisirons la méthode d’installation d’un serveru autonome. esclave d’un serveur Windows Active Directory. Si vous n’utilisez qu’une seule interface externe. Interfaces Aller à la Réseau -> Interfaces et configurer chaque interface en saisisant son adresse IP et le masque. vous allez configurer chaque module. 3. Réseau Comme indiqué dans le scénario.La passerelle Zentyal est maintenant installée. vous devez configurer trois interfaces réseau. En suivant les étapes suivantes. Dans l'image suivante vous pouvez voir la configuration d’une interfaces externes et interne. Zentyal permettra d'équilibrer le trafic entre les deux connexions Internet. Vous pourrez toutes fois n’utiliser qu’un seul routeur externe ou utliser directement l’adresse ip publique de votre FAI. ni à l’équilibrage de la charge. deux pour les routeurs externes et une pour le réseau interne. vous ne pourrez configurer ni basculement.1. 3. Ne pas oublier de cocher les interfaces externes car Zentyal utilise cette info dans les règles de pare-feu. . si votre box vous le permet. 2. . Si vous n’avez qu’une seul interface externe vous pouvez passer ce paragraphe. Passerelles et l'équilibrage de charge Maintenant que il vous faut mettre en place deux passerelles dans le tableau des passerelles (Réseau -> Passerelles).3. Pour configurer le basculement.Aller dans Réseau . Basculement Le Serveur Zentyal permet de faire un basculement sur les passerelles. elle sera détectée et le trafic passera par l'autre. Si l'une des passerelles ne fonctionne plus. L’Événement de basculement (Failover) les utiliserera pour détecter l'état du lien cassé ( Réseau -> WAN Failover ): . vous devez ajouter des règles de contrôle de la connectivité. Enfin. Ceci garantit une connexion Internet toujours active (sauf si les deux passerelles sont hors service au même moment). Vous devez également activer le WAN Failover dans la rubrique événements.3.Trafic> Balance pour permettre l'équilibrage de charge entre les passerelles. 3. le module Events doit être activé (dans état des modules). Si deux pings ou plus échouent pour une passerelle. 3. Lorsque la passerelle récuperera les pings.8. Les infrastructures de base Afin de fournir une infrastructure de base pour le réseau interne. Il est important de régler un temps suffisant entre les tests.4. elle sera désactivée. mais il vérifie comme son nom l’indique la résolution DNS. Avec cette configuration Zentyal pinguera l’adresse 8. elle sera de nouveau activée. . Aucun de ces événements n’auront une incidence sur la connectivité des utilisateurs finaux. nous avons 6 ping pour chaque passerelles. mais pas la connexion Internet elle-même. vous devez installer DNS et DHCP en utilisant les modules logiciels de gestion -> Composants Zentyal.8.Ping vers la passerelle vérifie si la passerelle fonctionne. Dans ce cas. et le dernier. le test de la résolution DNS est un peu plus lent. Ping à un hôte externe permet de tester la connectivité rapidement.8 toutes les 30 secondes. ce qui devrait être fait en moins de 30 secondes. il est plus complet mais aussi plus lent. HTTP à la demande va faire une demande complète à une page Web. vous pouvez configurer Réseau -> DNS à 127.0. 127.0.1 devra être le premier serveur): Le serveur DHCP peut aussi être configuré pour le réseau interne (eth2 dans notre exemple): il permet de configurer automatiquement la passelle et le .0.0. Si vous souhaitez que le DNS agisse comme un serveur de cache.Maintenant.1 (si vous configurez plus d'un serveur DNS. vous devez activer ces composants dans état des modules. 0. par exemple 10.serveur DNS pour les clients du serveur DHCP. Vous pourrez choisir une adresse de votre passerelle et DNS.0. 00:0C:22:D4:K1:54.0. . vous devrez créer d’abord des membres dans le module Objets en leur donnant une adresse IP et mac adresse de la forme suivante 10. Il est vivement recommandé de ne pas utiliser la même plage DHCP pour vos machines en adressage DHCP fixe car votre serveur DHCP pourrait attribuer une adresse ip déjà utilisée à vos membres. differente de celle de votre serveur DHCP. Le Serveur DHCP permet également de saisir un domaine de recherche.0.101/32. Vous devrez ajouter une plage d'adresses IP par défaut que vous voulez utiliser pour les clients.100 dans notre cas Si vous souhaitez attribuer des ip fixes à vos clients depuis votre serveur DHCP.0.20-10.0. Cette fonction vous permettra par exemple de raccourcir vos différentes requetes http sur un même domaine. . 4. Maintenant. Voici quelques exemples courants: Permettre aux clients internes d'utiliser certains services. Vous pouvez trouver les règles configurées dans Pare-feu .Packet Filter> : Filtrage des règles à partir des réseaux internes aux Zentyal Filtrage des règles pour les réseaux internes Filtrage des règles pour le trafic sortant de Zentyal Filtrage des règles à partir des réseaux externes au Zentyal règles Filtrage des réseaux extérieurs aux réseaux internes Les règles ajoutées par les services Zentyal (Avancé) Par défaut. Zentyal est sécurisé. par défaut le pare-feu applique des règles strictes sur les interfaces externes et autorise le trafic sortant du réseau local interne. Firewall A ce stade. sauf LDAP: . vous avez réseau qui fonctionne avec toutes les infrastructures de réseaux de base. nous allons jeter un oeil au parefeu Zentyal et regarder comment le configurer.vous avez besoin de créer une nouvelle règle (les règles sont appliquées dans l'ordre). si vous souhaitez autoriser une connexion . toutes ces table interdisent les connexions. Autoriser tout le trafic provenant de clients à l'Internet: . en interdisant les url de sites ou par le filtre de contenu. 5. vous pouvez ajouter des URL à des exceptions de cache. de cette facon les navigateurs de vos machines clientes n'auront pas besoin d'être configurés. de cette façon le proxy ne mettra jamais en cache les URLs listées. Vous pouvez également augmenter la taille du cache en fonction de votre matériel et de son utilisation. Dans Proxy HTTP -> Général . mais aussi créer de nouveau service dans le module Services : Par exemple vous souhaitez ajouter le service VNC : Aller dans Service => Nouveau Service => Nommez ce service VNC.Pour paramétrer de nouvelle règles. vous devrez d’abord saisir de nouveau objets (ou utiliser les mêmes que ce déjà utliser pour le serveur DHCP). Ceci est utile si vous avez toujours besoin d’accéder à une page dans sa dernière version. De plus il pourra également filtrer le contenu de site web consulté par vos utilisateurs. . Enfin. Proxy HTTP La dernière étape de ce tutoriel est la configuration de proxy HTTP. les demandes HTTP (port 80) seront automatiquement redirigé par le proxy. vous pouvez configurer le proxy HTTP en mode transparent. Une nouvelle ligne « VNC » apparaitra. Celui-ci permet de diminuer la bande passante lors de la navigation des utlisateur sur internet en mettant les sites consulté en cache. et valider. vous devrez donc modifier ce service et saisir le port utiliser par votre service VNC. Vous pourrez configurer le seuil de filtrage de contenu et ajouter une listes de domaines interdits. Vous pouvez configurer celui par défaut.Si vous réglez la politique par défaut du proxy en Filtrer. celui-ci filtrera le requêtes de vos clients par le filtre contenu que l’on peut paramétrer dans Profils de filtres. si vous souhaitez installer le module antivirus le proxy pourra l’utiliser pour filtrer les téléchargements de virus. Dans le menu proxy HTTP -> Profils de filtres. . vous trouverez les profils définis par le filtrage. Aussi. qui s'appliquera à tous les utilisateurs. . nous avons fait le choix de bloquer. Dans ce cas. Mais gardez à l’esprit que le proxy ne filtre que sur le port http (soit le port 80). vous devrez une règles dans votre parefeu.Dans cet exemple. en plus du filtre de contenu.com. le protocole HTTPS (TCP avec le port de destination 443): . les utilisateurs peuvent encore atteindre la version HTTPS de la page. Vous aurez également besoin d'un objet ( menu objets) contenant les différentes adresses IP des serveurs facebook. l’url facebook.com: Vous devrez aussi créer un nouveau service correspondant au protocole que souhaitez interdire. Pour bloquer ce trafic. Dans ce cas. le basculement et le cache du proxy .Enfin. Conclusions Vous avez entièrement configuré votre serveur Zentyal comme une passerelle avec équilibrage de charge. vous devrez ajouter la règle de pare-feu pour les réseaux internes pour bloquer le trafic correspondant à votre nouvel objet et service : 6. Vous savez egalement paramétrer le parefeu en créant de nouveaux objets et services .HTTP. Zentyal sera également en charge des infrastructures de base DHCP et DNS.
Report "La Configuration Parfaite de La Passerelle Zentyal"