Introduction :

Les pare-feux sont indispensables pour la sécurisation

des flux de données sur un réseau, tant pour les individus
que pour les entreprises. Dans le contexte professionnel, la
sécurité d’un réseau s’apparente à la protection des
informations qui circulent au sein d’un système. IPCop est
un système open source que l’on installe sur une machine
sous Linux afin d’en faire un pare-feu utilisé pour protéger
un réseau local. C’est un logiciel permettant de protéger
efficacement un réseau local, tout en ayant une interface
d’administration accessible, facilitant ainsi sa prise en main.

Qu'est-ce que IPCop ?

IPCop est une distribution Linux spécialisée qui

transforme un vieux PC en un puissant pare-feu dédié. Il est
conçu pour être facile à utiliser, même pour les utilisateurs
ayant peu d’expérience en administration réseau.

Historique et origine du projet

IPCop :
IPCop est né au début des années 2000 comme un fork
du projet SmoothWall, dont la version gratuite devenait trop
limitée au profit d’une version commerciale. L’objectif
d’IPCop était clair : proposer un pare-feu totalement open
source, gratuit, avec une interface web simple, tout en étant
orienté utilisateur.
Grâce à une communauté de développeurs et de passionnés,
IPCop a évolué pour intégrer des fonctionnalités avancées :
VPN, proxy, IDS, filtrage web, mise à jour automatique, et

Essentiel Traits:

La configuration se fait via une interface web.

Gestion des VPN via OpenVPN, proxy avec Squid, et
détection d'intrusions via Snort.
Mises à jour automatiques du système via l'interface.
journalisation et reporting sophistiqués du trafic réseau.

Architecture Réseau IPCop :

IPCop organise les zones réseau par niveaux de sécurité :

ROUGE : connexion Internet (zone non fiable).(Wan)

VERT : Réseau Local (zone fiable).(Lan)

ORANGE : une zone DMZ pour les serveurs exposés à

Internet.(serveur)

BLEU : réseau sans fil (WiFi).

Avis important :
Le projet IPCop n’est plus activement maintenu et doit être
considéré aujourd’hui comme un outil pédagogique et expérimental.
Pour les environnements professionnels ou en production, il est
fortement recommandé d’utiliser des solutions plus modernes et
sécurisées comme pfSense, OPNsense ou des pare-feu de niveau
entreprise tels que FortiGate, qui offrent des fonctionnalités
avancées telles que l'IPS, le VPN intégré et l’analyse
comportementale du trafic...
 Guide d’Installation d’IPCop :
Du Téléchargement à la Première
Connexion :
Téléchargement et création du média bootable :
Télécharger l’image ISO sur : https://www.ipcop.org
Créer une clé USB bootable avec Rufus, Etcher ou balena

Procédure d’installation :

Démarrer depuis la clé/CD

Ensuite, cet écran apparaîtra et appuyez sur Entrée

Sélectionnez la langue d'installation d'IPCop. Utilisez les flèches pour vous

déplacer dans la liste, et la touche Tab pour naviguer entre les éléments. Utilisez
la barre d'espace ou la touche Entrée pour sélectionner.
Sélectionnez la disposition de clavier souhaitée. Utilisez les touches fléchées pour
vous déplacer dans la liste, et la touche Tab pour naviguer entre les éléments.
Utilisez la barre d'espace ou la touche Entrée pour sélectionner.

Choisissez votre fuseau horaire dans la liste. Utilisez les flèches pour monter ou
descendre dans la liste, et la touche Tab pour naviguer entre les éléments.
Utilisez la barre d'espace ou la touche Entrée pour sélectionner.
Saisissez la date et l'heure. Sélectionnez « Ignorer » pour conserver les
paramètres actuels.

Choisissez le disque sur lequel vous souhaitez installer IPCop. Utilisez les flèches
pour vous déplacer dans la liste, et la touche Tab pour naviguer entre les
éléments. Utilisez la barre d'espace ou la touche Entrée pour sélectionner.

Il vous sera demandé de confirmer que vous souhaitez continuer avant de

formater le lecteur, ce qui effacera TOUTES les données existantes.
Ensuite, vous pouvez choisir entre une installation standard sur disque dur ou
sur carte mémoire flash. L'installation flash comporte plusieurs modifications
visant à réduire le nombre d'écritures sur le disque et à prolonger la durée de vie
de la carte.

Les installateurs de disque dur passeront directement à l'écran ci-dessous, qui

montre la progression du partitionnement du disque, la création du système de
fichiers, l'installation des fichiers, la création du SWAP, etc.

Si vous avez restauré vos paramètres à partir d'une sauvegarde, l'installation est
terminée.

Cliquez sur le bouton « Félicitations !» et retirez toutes les disquettes, clés USB
ou CD-ROM pendant le redémarrage d'IPCop.

Si aucun paramètre n'a été restauré, l'installation se poursuit avec la

configuration des noms d'hôtes, du type d'interface rouge, des attributions de
cartes réseau et des mots de passe système.
Saisissez le nom d'hôte que vous souhaitez attribuer à cet IPCop.

Saisissez un nom, en utilisant uniquement des caractères alphanumériques et

des tirets, sans espaces, puis appuyez sur le bouton OK pour accepter.

Enter the domain name for this IPCop.Type in a name, using only
alphanumeric characters, full stops (periods) and hypens, without
spaces, and press the Ok button to accept.

C'est ici que vous sélectionnez le type d'interface rouge sur IPCop.
Utilisez les touches fléchées du clavier ou la touche Tab pour vous déplacer entre
les types d'interface, et utilisez la barre d'espace pour sélectionner l'une des
options.
L'attribution des cartes réseau suit la détection du matériel, où vous attribuez les
cartes réseau aux réseaux vert, bleu et orange, selon le nombre d'interfaces
détectées. Vous attribuez ensuite des adresses numériques à vos réseaux et, si
nécessaire, le serveur DHCP du réseau vert est activé et configuré.

Attribuer le réseau VERT (green) à la carte

Attribuer le réseau RED à la carte

Attribuer le réseau orange à la carte

Enfin, après avoir terminé, cliquez sur Continuer.

la configuration sur interface green

la configuration sur l'interface rouge

Saisissez les informations DNS et de passerelle. Ces paramètres sont

utilisés uniquement avec une adresse IP statique (et DHCP si DNS est défini) sur
l'interface RED.

la configuration sur i'interface DMZ

Activer le service DHCP pour l'interface verte

Vous devez définir des mots de passe pour les utilisateurs « root », « admin » et
« backup ».

Si vous maîtrisez Linux, vous souhaiterez peut-être vous connecter à IPCop pour
effectuer des tâches de maintenance. Le seul identifiant utilisateur configuré est
l'utilisateur « root ». Attention, l'utilisateur « root » détient les clés de votre pare-
feu. Si quelqu'un obtient ce mot de passe, il peut causer toutes sortes de
problèmes. Par défaut, l'utilisateur « root » n'est autorisé à se connecter que via la
console locale.

Saisissez un mot de passe en évitant les guillemets, les guillemets doubles et les
espaces, et répétez-le pour confirmation. La longueur minimale d'un mot de passe
est de 6 caractères. Appuyez sur le bouton OK pour accepter.
Ensuite, saisissez un mot de passe pour l'utilisateur « admin ». Lorsque vous vous
connectez à l'interface web d'IPCop, un nom d'utilisateur et un mot de passe vous
seront demandés. L'utilisateur « admin » peut administrer IPCop via l'interface
web. Contrairement au mot de passe de l'utilisateur « root », les navigateurs web
gèrent mal les caractères spéciaux. Limitez votre mot de passe « admin » à des
caractères alphanumériques majuscules et minuscules.

Enfin, il vous sera demandé un mot de passe de « sauvegarde », qui est utilisé lors
de la restauration des fichiers de sauvegarde du système à partir de clés USB ou
d'autres systèmes de fichiers, comme décrit dans la section Page Web de
sauvegarde du manuel d'administration.
Enfin, votre pare-feu redémarrera et vous aurez accès à votre compte pare-feu.
Félicitations, l'installation est terminée.

Accès à l’Interface Web d’IPCop

Assurez-vous que votre PC de gestion (administrateur) est connecté

physiquement à l’interface GREEN du pare-feu IPCop, car seule cette zone
permet l’accès à l’interface web par défaut.

Ouvrir un navigateur web compatible

Lancez un navigateur sur votre PC (Firefox, Chrome ou autre) et saisissez

l’adresse suivante dans la barre URL :

https://ip address:445
Utilisez les identifiants définis lors de l’installation :

Nom d’utilisateur : admin

Mot de passe : celui que vous avez saisi pendant l’installation

 Une fois connecté, vous êtes accueilli par une
interface web simple mais fonctionnelle. Le tableau de
bord vous donne une vue d’ensemble sur l’état du
système,

Mise en Place d’un VPN Site-

à-Site Sécurisé avec IPCop :
Description du projet :
Le projet consiste à établir une connexion sécurisée entre deux sites
géographiquement distants : Casablanca et Errachidia, en utilisant la
solution open source IPCop comme pare-feu et passerelle VPN.

L’objectif principal est d’assurer une communication fluide, continue

et chiffrée entre les deux réseaux locaux via un tunnel VPN IPsec.
Cette interconnexion permettra :

 Le partage sécurisé de fichiers et de ressources entre les deux

sites
 L’accès aux services internes du siège depuis la succursale
  Une gestion centralisée du réseau et une meilleure sécurité des
échanges

infrastructure réseau :
Site Casablanca :

 Réseau local : 192.168.1.0/24

 Adresse IP publique : 150.0.0.1
 Pare-feu : Ipcop installé sur un serveur dédié

Site Errachidia :

 Réseau local : 10.0.0.0/24

 Adresse IP publique : 145.0.0.1
 Pare-feu : Ipcop installé sur un serveur dédié

Topologie réseau simulée avec GNS3

 Plan d’Adressage IP :

F1/0 145.0.0.2 /30 N/A

Router F0/1 150.0.0.2 /30 N/A
F0/0 DHCP
Site-errachidia Wan 145.0.0.1 /30 145.0.0.2
Lan 10.0.0.1 /24 N/A
Site-casablanca Wan 150.0.0.1 /30 150.0.0.2
Lan 192.168.1.1 /24 N/A
Configuration des Équipements Réseau pour une
Infrastructure Optimale :
1. Configuration des interfaces sur le routeur :

router(config)#interface fastethernet 1/0

router(config-if)#ip address 145.0.0.2 255.255.255.252
router(config-if)#ip nat inside
router(config-if)#no shutdown

router(config)#interface fastethernet 0/1

router(config-if)#ip address 150.0.0.2 255.255.255.252
router(config-if)#ip nat inside
router(config-if)#no shutdown

router(config)#interface fastethernet 0/0

router(config-if)#ip address dhcp
router(config-if)#ip nat outside
router(config-if)#no shutdown

Vérification des adressage:

router(config)#do show ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.211.237 YES DHCP up up
FastEthernet0/1 150.0.0.2 YES NVRAM up up
FastEthernet1/0 145.0.0.2 YES NVRAM up up
 2. Configuration du NAT sur le routeur pour l'accès à Internet :

router(config)#ip access-list standard internet

router(config-std-nacl)#permit 145.0.0.0 0.0.0.3
router(config-std-nacl)#permit 150.0.0.0 0.0.0.3
router(config-std-nacl)#exit
router(config)#ip nat inside source list internet interface f0/0 overload

3. Configuration des interfaces sur les pare-feux :

 Pour le site d’Errachidia :

Interface verte (LAN – réseau interne)

 Nom : GREEN

 Adresse IP : 10.0.0.1

 Masque de sous-réseau : 255.255.255.0

Interface rouge (WAN – accès Internet)

 Nom : RED

 Adresse IP : 145.0.0.1

 Masque de sous-réseau : 255.255.255.252

La passerelle et adresse dns :

 Pour le site d’casablanca :

Interface verte (LAN – réseau interne)

 Nom : GREEN

 Adresse IP : 192.168.1.1

 Masque de sous-réseau : 255.255.255.0

Interface rouge (WAN – accès Internet)

 Nom : RED

 Adresse IP : 150.0.0.1

 Masque de sous-réseau : 255.255.255.252

 La passerelle et adresse dns :

4. La création du VPN site à site :

Au niveau de parefeu site-errachidia :

Étape 1 : Configuration du premier site (Site-errachidia)

Connectez-vous à l'interface web de pfSense (https://10.0.0.1:8443)

Activer le service VPN IPsec

 Accéder à RPVs > Ipsec

Cochez : ✅ "Activer Ipsec "

Cliquez sur "Enregistrer

Cliquez ensuite sur pour créer un canal VPN.

Name : site-errachidia
Serveur /ip distant : 150.0.0.1 (ip public pour
pare-feu site-casablanca)
Sous-réseau distant : 192.168.1.0/255.255.255.0
réseau local ou interface vert pour site-
casablanca )

Pre-Shared Key (PSK) : Définissez une clé partagée (identique sur les deux
sites).(karim@maali)
Cliquez sur "Enregistrer

Au niveau de parefeu site-errachidia :

Au niveau de parefeu site-casablanca :
Étape 1 : Configuration du premier site (Site-casablanca)

Connectez-vous à l'interface web de pfSense (https://192.168.1.1:8443)

Activer le service VPN IPsec

 Accéder à RPVs > Ipsec

Cochez : ✅ "Activer Ipsec "

Cliquez sur "Enregistrer

Cliquez ensuite sur pour créer un canal VPN.

Name : site-casablanca
Serveur /ip distant : 145.0.0.1 (ip public pour
pare-feu site-errachidia)
Sous-réseau distant : 10.0.0.0/255.255.255.0
réseau local ou interface vert pour site-
errachidia)

Pre-Shared Key (PSK) : Définissez une clé partagée (karim@maali)

Cliquez sur "Enregistrer

Vérifiez que l'état du tunnel est overt

Tester la communication entre les des sites :
PC1 (Site-errachidia)  PC3 (Site-casablanca)

PC4 (Site-casablanca)  PC2 (Site-errachidia)

PC1 (Site-errachidia)  internet

PC1 (Site-casablanca)  internet

Surveillance et Analyse des Paquets VPN avec Wireshark

La connexion VPN IPsec entre les deux sites est

réussie.
Négociation IKE Phase 1 terminée avec succès
(ISAKMP).
Le transfert de données via ESP est actif (IKE
Phase 2).
Aucun message d'erreur ni retransmission n'est
détecté, ce qui indique une connexion stable.