Configurer des transferts de ports sur IPCOP

I. Présentation

Pour accéder avec une machine depuis le réseau ROUGE vers une machine sur le réseau GREEN d’IPCOP, il est nécessaire d’utiliser la fonctionnalité du transfert de port afin d’ajouter une règle dans le pare-feu qui autorise l’accès. Par défaut, tous les accès vers les machines du réseau sécurisé (GREEN) sont interdits par les machines du réseau non-sécurisé (RED), IPCOP remplit son rôle de pare-feu afin de protéger les hôtes du LAN.

On appelle aussi cette fonctionnalité « port forwarding » et dans le cas d’IPCOP cela se met en place grâce à des règles IPTABLES puisqu’IPCOP utilise cette application pour jouer le rôle de pare-feu.

Ainsi, nous pourrons dire que lorsqu’on accède à l’interface ROUGE d’IPCOP sur le port 8080 on doit être redirigé vers le port 80 du poste de travail qui a la fonctionnalité de serveur web, ayant pour adresse IP « 172.16.0.1 », et, qui se situe dans le LAN (réseau GREEN). C’est d’ailleurs ce que nous allons voir ici à titre d’exemple, j’utiliserais pour ma part la version 2.0.4 de la distribution IPCOP (mais vous pouvez utiliser la version 1.4.x).

De plus, comme on accède à notre machine située dans le réseau LAN depuis l’adresse IP de l’interface ROUGE d’IPCOP, cela permet de masquer l’adresse IP de la machine et donc de protéger les informations du réseau local.

Finalement, c’est le même principe que sur votre box que vous avez à la maison où vous configurer de la redirection de port afin d’accéder à distance à votre machine en « bureau à distance », à votre serveur web situé à la maison, à votre NAS, etc…

II. Schéma

Afin de vous résumer l’architecture et que vous ne soyez pas perdu, voici un schéma :

ipcoptdp0

III. Configuration du transfert de port

Après vous êtes connecté à l’interface web d’administration d’IPCOP, allez dans le menu « Pare-feu » puis « Règles du Pare-feu » et une fois que vous y êtes cliquez sur « Transferts de ports ».

ipcoptdp1

La configuration se déroule en 5 phases :

Source : restreindre ou non la source c’est-à-dire le client.
Destination externe IPCOP : port sur lequel vous devez accéder pour « déclencher » le transfert.
Destination interne : Vers quelle machine et quel port doit-on transférer la demande ?
Additionnel : Activer ou désactiver la règle, la journalisation de la règle, etc…
Ajouter une plage d’horaire : Appliquer la règle selon une plage d’horaire.

Commençons par la première phase de la configuration, à savoir la « Source ». Si vous souhaitez que n’importe qui c’est-à-dire n’importe quelle adresse IP ou adresse MAC source puisse utiliser accéder à votre machine du LAN, laissez coché « Adresse : Any ». Sinon, cliquez sur « Format d’adresse » et sélectionnez « IP » ou « MAC » puis indiquez cette adresse dans le champ sur la droite. Par exemple, pour autoriser uniquement à l’adresse IP « 192.168.1.50 » on cocherait cette case en indiquant IP puis l’adresse IP dans le champ de droite.

Pour ma part, je laisse sur « Adresse : Any » puisque le serveur web doit être accessible depuis le réseau ROUGE pour tout le monde.

ipcoptdp2

Deuxièmement, on choisit quel est la destination externe au niveau du port puisque l’adresse IP sera forcément celle de l’interface ROUGE d’IPCOP puisqu’il n’y a qu’elle qui est visible depuis l’extérieur. Choisissait dans la liste des services celui qui correspond à votre numéro de port, s’il n’y est pas vous pouvez toujours le créer (« Pare-feu » puis « Services » dans le menu).

Pour ma part j’utilise un service « HTTP Perso (8080) » qui correspond au port 8080 afin de coller à la configuration voulue.

ipcoptdp3

Troisièmement, intéressons-nous à la destination en interne. Vous devez donc indiquer l’adresse IP de votre machine/serveur dans le champ « Adresse IP de destination » donc « 172.16.0.1 » pour ma part. Il est également nécessaire d’indiquer le port de destination dans la liste des services prédéfinis ou dans vos services personnalisés, je choisis donc le service « http » pour le port « 80 ».

ipcoptdp4

Ensuite, activez ou non la règle en cochant « Règle activée » ainsi que la journalisation grâce à la case « La règle de Journaliser », et, indiquez une remarque dans le champ « Remarque » afin de nommer la règle. Dans les options avancées, vous pouvez configurer un peu plus en détail la journalisation.

ipcoptdp8
Pour finir, vous pouvez éventuellement configurer une plage d’horaire pendant laquelle la règle de port forwarding sera active. En dehors de cette plage, il sera impossible d’utiliser la règle.

La gestion des plages horaires est très intéressante, si cette règle concerne un accès SSH à un serveur vous pouvez par exemple mettre en place une règle qui est active sur le port « 2002 » de 00h à 12h puis une autre qui sera active de 12h01 à 23h59 sur le port « 2222 » et ensuite pourquoi pas inverser les règles une fois arrivé à la moitié du mois, comme ça on varie la manière dont on accède au serveur. Il suffira ensuite de se rappeler des numéros de ports selon la période.

ipcoptdp5

Cliquez ensuite sur « Suivant », un résumé de la règle apparaîtra et si vous êtes sûr des paramètres indiqués cliquez sur « Enregistrer ».

Vous noterez l’avertissement d’IPCOP qui vous indique que vous ouvrez votre pare-feu, ce qui est logique puisque cette règle permet un accès au LAN depuis l’extérieur. C’est pour cela que c’est important de bien la configurer et de restreindre au maximum selon ce à quoi vous souhaitez donner accès.

ipcoptdp6
Il ne vous reste plus qu’à tester votre accès à partir d’un poste client situé dans le réseau ROUGE.

IV. Visualisation des journaux

A partir du menu, si vous allez dans « Journaux » puis « Journaux du pare-feu » vous verrez que la règle est bien journalisée :

ipcoptdp7
Votre accès est en place, la journalisation l’est aussi ce qui est important pour la traçabilité des accès et pouvoir obtenir des informations en cas de problème.

Hébergez votre site à partir de 2$ sur 👉👉👉

À propos Santana

Analyste en cybersécurité avec 5 ans d'expérience dans la protection des systèmes d'information contre les menaces et les attaques. Expertise dans la surveillance des réseaux, l'analyse des vulnérabilités, et la gestion des incidents de sécurité. Passionnée par l'innovation technologique et la mise en œuvre de solutions de sécurité robustes pour protéger les données sensibles et assurer la conformité réglementaire.

Vérifiez également

proxy3

Mise en place d’un Proxy sous IPCOP

Table de Matieres1 I. Présentation2 II. Proxy « non-transparent »3 III. Accès au menu « …

Installation d’un add-on sous IPCOP

Table de Matieres1 I. Présentation2 II. Où trouver les add-ons ?3 III. Téléchargement de l’add-on4 …

settingseth

Modifier la configuration réseau d’IPCOP manuellement

I. Présentation On peut consulter la configuration réseau du serveur IPCOP via l’interface web ou …

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.