Configurer des accès externes pour IPCOP
I. Présentation
A partir du menu de configuration du pare-feu d’IPCOP, il est possible de configurer des accès externes afin d’effectuer des tâches de maintenance et d'administration sur votre serveur depuis l’extérieur, c’est-à-dire depuis le WAN et donc le réseau dit « ROUGE/RED » pour IPCOP.
Ainsi on pourra autoriser uniquement l'adresse IP d'une machine à accéder sur le port 445 uniquement à notre serveur IPCOP depuis le WAN. Le fait d'autoriser qu'une seule adresse IP ou à la limite que quelques unes permet de garder une couche de sécurité au niveau des accès depuis le réseau "dangereux" représenté par l'extérieur.
Bien sûr, vous pourrez autoriser la connexion depuis n'importe quel adresse IP mais je ne vous le conseil pas. Il vaut mieux se limiter à quelques adresses IP de confiances.
La version d'IPCOP utilisée dans le cadre de ce tutoriel est la version 1.4.20 mais c'est applicable pour la version 2.0.x, le principe restant le même.
II. Configuration
Nous allons donc configurer un accès pour le poste client (192.168.1.50) sur notre IPCOP par l'interface ROUGE (192.168.1.254), sur le port 445 uniquement pour un accès à l'interface d'administration.
Pour cela, connectez-vous à l'interface d'administration de votre IPCOP depuis le LAN (GREEN) afin de mettre en place la configuration. Identifiez-vous sur l'interface grâce au compte "admin". Par l'intermédiaire du menu, allez dans "Pare-feu" puis "Accès externes".
Vous obtiendrez donc ce formulaire :
Voici quelques explications pour mieux vous y retrouver :
- TCP / UDP : Protocole de connexion à utiliser, dans la plupart des cas ce sera TCP qu'il faudra prendre.
- Adresse IP source ou réseau (vide pour "Tout") : Vous devez indiquer à qui vous autorisez l'accès, c'est à dire à une adresse IP unique, à une plage d'adresses IP (un réseau) ou à toutes les adresses IP.
- Port destination : Port sur lequel vous souhaitez arriver sur l'IPCOP, par exemple pour accéder à l'interface d'administration en HTTPS on indiquera 445, pour le SSH 222, etc.
- Activé : Si la case est cochée cet accès externe et configuré sinon la règle est enregistrée mais inactive.
- Adresse IP de destination : Ce champ gardera comme valeur "DEFAULT IP" qui correspond à l'adresse IP de votre interface ROUGE/RED. Ce qui est logique puisqu'on ne veut pas faire une redirection mais bien configurer un accès externe à notre serveur IPCOP.
- Remarque : Indiquez un commentaire afin de qualifier cette règle, dans le but de vous y retrouver entre toutes vos règles d'accès externes.
Ce qui dans mon cas donnera ceci :
Il ne reste plus qu'à cliquer sur le bouton "Ajouter" pour voir la règle d'accès externe s'affiche dans la liste des règles. Enfin, testez votre accès externe en vous connectant depuis l'adresse IP autorisée par l'interface RED.
En ce qui concerne la version 2.0 d'IPCOP ou supérieure, il est possible d'accéder également à la configuration des accès externes où la configuration est plus complète. Effectivement, il est possible d'activer ou non la journalisation pour une règle et d'indiquer une plage horaire sur laquelle la règle s'applique, intéressant tout de même !