Gestion du pare-feu
Le pare-feu (firewall) sert à filtrer les connections qui passent entre des machines extérieures à l'établissement et l'intérieur de l'établissement. Certaines connexions qui posent un risque pour la sécurité, ou qui sont contraires à la politique de maison, peuvent être filtrées par ce pare-feu. La configuration du pare-feu se décompose en 3 pages, toutes accessibles depuis le menu principale.

Configuration de base

Ce panneau permet de saisir les adresses et le type des différentes interfaces de la machine. Il permet ainsi de définir ce qui est considéré comme extérieur à l'établissement, et ce qui est considéré comme intérieur à l'établissement. Trois zones de saisies sont disponibles:
Réseaux locaux
Cette zone contient les adresses réseaux qui sont à considérer comme internes. Les adresses réseaux sont exprimées en tant que adresses IP accompagnés d'un netmask. Il y a une adresse réseau par ligne. Exemple:

158.64.72.0/255.255.255.9 10.0.0.0/255.0.0.0 

Cartes réseau "externes"
Cette zone contient une liste de tous les périphériques réseau. Ceux qui sont cochés sont considérés comme donnant accès au réseau externe (Restena, ADSL, ...)

Cartes réseau "internes"
Cette zone contient une liste de tous les périphériques réseau. Ceux qui sont cochés sont considérés comme donnant accès au réseau interne

Les types suivants de périphériques réseaux sont disponibles. Chaque périphérique est suivi d'un chiffre permettant de distinguer plusieurs périphériques de type identique.
eth
Carte Ethernet. D'habitude eth0 alimente le réseau interne, tandis que eth1 assure la connexion au réseau externe

lo
Loopback (périphérique virtuel pour mettre en oeuvre l'adresse localhost). Ce périphérique est à considérer comme interne
ets
Ligne spécialisée WAN
Ce périphérique correspond à une carte WAN qui se connecte directement à une ligne spécialisée ("Standleitung"). Par exemple, Sangoma, Etinc, etc. Ce périphérique (s'il existe...) est à considérer comme externe.
isdn
Carte ISDN

ppp
Dialup PPP ou ADSL

Connexions entrantes

Sites "amis"

Il s'agit d'une liste d'adresses IP qui ont un accès complet à toutes les machines de l'établissement, sans restriction. Il est conseillé de n'y mettre que des machines auxquelles on fait confiance (machines d'autres établissements non accessibles à des étudiants, adresses dialup seulement accessible à des utilisateurs identifiées et de confiance). Les requêtes provenant de ces sites ne sont sujettes à aucune des autres règles.

Pour activer cette liste cocher la case. Pour éditer la liste, cliquez sur le lien "Configuration".

Sites ennemis

Il s'agit d'une liste de site qui ne bénéficient d'aucun accès, même si d'autres règles existent qui permettraient l'accès. Par exemple, si on autorise par ailleurs l'accès à 158.64.72.226:20 (serveur ftp sur 158.64.72.226), cette machine sera accessible à partir de toutes les adresses, sauf justement les adresses "ennemis". Le but de cette liste est de se protéger contre des sites qui se sont fait "remarquer" dans le passé. Pour activer cette liste cocher la case. Pour éditer la liste, cliquez sur le lien "Configuration".

Services TCP entrants

Il s'agit ici d'une liste de services TCP résidant sur la machine LLL ou une autre machines externes que l'on veut rendre accessibles depuis l'extérieur.

C'est une série d'entrées sous la forme machine:port, une par ligne.

Machine est l'identificateur de la machine offrant le service. Ceci est self pour des services offert par le serveur lui-même, et l'adresse IP de la machine pour des service offerts par des machines autres que le serveur. On peut aussi utiliser * qui veut dire que ce service est accessible quelque soit l'adresse IP demandée.

Port est le numéro du port TCP/IP du service accessible. Si on indique *, cela veut dire que tous les ports sont accessible.

Les ports suivant sont utiles:
Numéro Service
20, 21 ftp (transfert de fichiers, les 2 ports doivent être accessibles)
22 ssh (maintenance à distance, sécurisée)
23 telnet (maintenance à distance, non-sécurisée. Déconseillé)
25 SMTP (réception de courrier électronique. Doit être autorisé pour pouvoir recevoir du courrier depuis l'extérieur)
53 DNS (Serveur de noms. Nécessaire pour que le serveur puisse être connu sous son nom depuis l'extérieur)
80 HTTP (accès au serveur Web de ce serveur LLL)
110, 143 POP, Imap (consultation du courrier électronique)
119 NNTP (Serveur de "news" (groupes des discussions) ). Le serveur LLL ne fournit pas de service NNTP, mais ce port peut être intéressant dans le cadre des connexions sortantes si l'on veut donner accès à un serveur NNTP extérieur (celui de Visual Online ou de Restena par exemple).
443 HTTPS (accès sécurisé au serveur Web de ce serveur LLL)
3128 Squid (Proxy Web)

Services UDP entrants

Il s'agit ici d'une liste de services UDP résidant sur la machine LLL ou une autre machines externes que l'on veut rendre accessibles depuis l'extérieur.

C'est une série d'entrées sous la forme machine:port, une par ligne.

Machine est l'identificateur de la machine offrant le service. Ceci est self pour des services offert par le serveur lui-même, et l'adresse IP de la machine pour des service offerts par des machines autres que le serveur. On peut aussi utiliser * qui veut dire que ce service est accessible quelque soit l'adresse IP demandée.

Port est le numéro du port UDP du service accessible. Si on indique *, cela veut dire que tous les ports sont accessible.

Les ports suivants sont utiles:
53 DNS (Serveur de noms. Nécessaire pour que le serveur puisse être connu sous son nom depuis l'extérieur)
123 NTP (synchronisation de l'horloge)

NAT entrante, TCP

Cette liste contient un nombre de redirections, si l'on veut rendre accessible des services TCP qui tourneraient sur une machine interne du réseau qui n'a pas une adresse visible depuis l'extérieur. Utilisation avancée.

NAT entrante, UDP

Cette liste contient un nombre de redirections, si l'on veut rendre accessible des services TCP qui tourneraient sur une machine interne du réseau qui n'a pas une adresse visible depuis l'extérieur. Utilisation avancée.

Connexions sortantes

Machine ayant un accès direct à l'extérieur

Il s'agit d'une liste de machines internes qui peuvent accéder directement à l'extérieur sans être sujet aux autres règles du firewall. Pour activer cette liste cocher la case. Pour éditer la liste, cliquez sur le lien "Configuration".

Services TCP sortants

Listes de services TCP offerts par le serveur LLL lui-même, ou par des machines externes, que l'on veut rendre accessibles à toutes les machines internes.

Services UDP sortants

Listes de services UDP offerts par le serveur LLL lui-même, ou par des machines externes, que l'on veut rendre accessibles à toutes les machines internes.

Services TCP sortants (salles verrouillées)

Services TCP non accessibles depuis les salles de classe verrouillées.

Services UDP sortants (salles verrouillées)

Services UDP non accessibles depuis les salles de classe verrouillées.