Zentyal Comme Passerelle : La Configuration Parfaite - Page 2

3.3. Basculer

Le serveur Zentyal peut effectuer un basculement sur les passerelles. Si l’une des passerelles échoue, elle sera détectée et le trafic passera par l’autre. Cela garantit une connexion Internet équilibrée (à moins que les deux liens échouent en même temps).

Pour configurer le basculement, le module Événements doit être activé (dans l’état du module). Vous devez également activer le basculement WAN dans la section Événements. Enfin, vous devez ajouter des règles de vérification de connectivité. L’événement de basculement les utilisera pour détecter l’état du lien cassé (Réseau -> Basculement WAN) :

Le ping vers la passerelle vérifie si la passerelle est opérationnelle, pas la connexion Internet elle-même, le ping vers un hôte externe teste également la connectivité de manière rapide, le test de résolution DNS est un peu plus lent mais vérifie également la résolution DNS, et le dernier, la requête HTTP effectuera une requête complète vers une page web, c’est plus complet mais aussi plus lent.

Avec cette configuration, Zentyal pingera 8.8.8.8 toutes les 30 secondes. Si deux pings ou plus échouent pour une passerelle, elle sera désactivée. Si la passerelle se rétablit, elle sera réactivée. Aucun de ces événements n’affectera la connectivité des utilisateurs finaux. Il est important de configurer un temps correct entre les tests, en calculant la durée maximale des tests. Dans ce cas, nous avons six pings x deux passerelles, ce qui devrait être fait en moins de 30 secondes.

3.4. Infrastructure de base

Pour fournir une infrastructure de base pour le réseau interne, vous devez installer les modules DNS et DHCP en utilisant la section Gestion des logiciels -> Composants Zentyal.

Maintenant, vous devez activer ces composants dans l’état du module. DNS agira comme un serveur de cache, donc vous pouvez configurer Réseau -> DNS sur 127.0.0.1 pour que Zentyal l’utilise (si vous configurez plus d’un serveur DNS, 127.0.0.1 devrait être le premier) :

DHCP peut également être configuré pour servir dans le réseau interne : il configurera automatiquement les clients pour utiliser Zentyal comme passerelle et DNS. Vous devez simplement ajouter une plage d’IP par défaut que vous souhaitez pour les clients, 10.0.0.20-10.0.100 dans ce cas :

4. Pare-feu

À ce stade, vous avez un réseau fonctionnel, avec toute l’infrastructure réseau de base nécessaire. Maintenant, examinons le pare-feu de Zentyal et comment le configurer.

Zentyal est sécurisé par défaut, le pare-feu par défaut applique des règles strictes sur les interfaces externes et permet le trafic sortant du LAN interne. Vous pouvez trouver les règles configurées dans Pare-feu -> Filtre de paquets :

• Règles de filtrage des réseaux internes vers Zentyal
• Règles de filtrage pour les réseaux internes
• Règles de filtrage pour le trafic sortant de Zentyal
• Règles de filtrage des réseaux externes vers Zentyal
• Règles de filtrage des réseaux externes vers les réseaux internes
• Règles ajoutées par les services Zentyal (Avancé)

Tous ces tableaux interdisent les connexions par défaut, si vous souhaitez autoriser un certain type de connexion, vous devez créer une nouvelle règle pour cela (les règles sont appliquées dans l’ordre). Voici quelques exemples courants :

Autoriser les clients internes à utiliser certains services sauf LDAP :

Autoriser tout le trafic des clients vers Internet :

5. Proxy HTTP

La dernière étape de ce tutoriel est la configuration du Proxy HTTP. Le Proxy HTTP de Zentyal mettra en cache la navigation Web des utilisateurs, réduisant ainsi l’utilisation de la bande passante et filtrera également le contenu, interdisant les sites ou types de contenu interdits.

Depuis Proxy HTTP -> Général, vous pouvez configurer le Proxy HTTP comme transparent, de sorte que les navigateurs des clients n’ont pas besoin d’être reconfigurés, les requêtes HTTP (port 80) seront automatiquement redirigées via le proxy. Vous pouvez également augmenter la taille du cache en fonction de votre matériel et de votre utilisation.

Enfin, vous pouvez ajouter une URL aux exceptions de cache, afin que le proxy ne la mette jamais en cache. Cela est utile si vous devez accéder à la page web toujours dans sa dernière version.

Définir le filtre comme politique par défaut obligera la requête à passer par le filtre de contenu. Maintenant, vous pouvez le configurer pour autoriser et interdire vos pages souhaitées. Dans le menu Proxy HTTP -> Profils de filtre, vous trouverez des profils de filtrage définis. Vous pouvez configurer celui par défaut, qui s’appliquera à tous les utilisateurs.

De plus, ici vous pouvez configurer le seuil du filtre de contenu et ajouter des listes de domaines interdits. De plus, si vous installez le module antivirus, le proxy l’utilisera pour filtrer les téléchargements de virus.

Comme vous pouvez le voir, vous avez bloqué facebook.com (juste comme exemple) mais gardez à l’esprit que le Proxy HTTP ne filtre que le HTTP sur le port 80. Dans ce cas, les utilisateurs peuvent toujours accéder à la version HTTPS de la page, donc nous créons également une règle de pare-feu bloquant ce trafic. Vous aurez besoin d’un objet (menu Objets) contenant le pool d’adresses de facebook.com :

S’il n’existe pas, vous créez également un nouveau service pour correspondre au trafic souhaité. Dans ce cas, HTTPS (TCP avec port de destination 443) :

Enfin, vous pouvez ajouter la règle de pare-feu pour les réseaux internes bloquant le trafic correspondant à votre nouvel objet et service comme destination :

6. Conclusions

Nous avons entièrement configuré le serveur Zentyal comme passerelle avec équilibrage de charge, basculement et cache proxy HTTP. Zentyal sera également responsable de l’infrastructure de base servant DHCP et DNS.

À propos

Zentyal, le serveur Linux pour petites entreprises, offre aux petites et moyennes entreprises une infrastructure réseau de niveau entreprise, abordable et facile à utiliser. En utilisant le serveur Zentyal, les PME peuvent améliorer la fiabilité et la sécurité de leur réseau informatique et réduire leurs investissements informatiques et leurs coûts opérationnels. Le développement du serveur Zentyal a commencé au début de 2004 et actuellement, c’est l’alternative open source au serveur Windows pour petites entreprises. Zentyal est un serveur tout-en-un qui peut agir comme une passerelle réseau, un gestionnaire de menaces unifié (UTM), un serveur de bureau, un gestionnaire d’infrastructure, un serveur de communications unifiées ou une combinaison de ceux-ci. Le serveur Zentyal est largement utilisé dans les petites et moyennes entreprises, quel que soit le secteur, l’industrie ou l’emplacement, ainsi que dans les administrations publiques ou dans le secteur de l’éducation. On estime qu’il y a plus de 50 000 installations actives de Zentyal dans le monde entier.

L’auteur, Carlos Pérez-Aradros Herce (alias exekias), travaille en tant que développeur de Zentyal Server et Zentyal Cloud.