IPFire
IPFire | |
Famille | Linux |
---|---|
État du projet | en développement |
Plates-formes | x86_64 ARM64[1] |
Entreprise / Développeur |
Équipe IPFire |
Licence | GPL |
États des sources | Logiciel libre et open source |
Dernière version stable | 2.29 Core Update 186 ()[2] |
Méthode de mise à jour | Pakfire[3] |
Interface utilisateur par défaut | WebGUI[4] |
Gestionnaire de paquets | Pakfire[5],[3] |
Site web | www.ipfire.org |
modifier |
IPFire est un firewall stateful destiné aux professionnels aussi bien qu'aux particuliers ; il est basé sur Linux From Scratch, une distribution Linux construite entièrement à partir du code source (contrairement aux autres distributions Linux, qui fournissent des paquets pré-compilés), que l'on peut installer sur un PC même un peu âgé, en fonction de ses besoins. On peut considérer l'ensemble comme une « distribution à usage spécifique » ou distribution « dédiée ».
Description
IPFire est un firewall, faisant — évidemment — office de routeur. À la différence des autres distributions Linux, il n'est pas question — pour des raisons évidentes de sécurité — de l'utiliser comme un système d'exploitation « normal » ; sa destinée est d'être installé sur un PC qui ne servira que de firewall / routeur et qu'on administrera — la plupart du temps — par le réseau ; typiquement : à partir d'un navigateur web vers le port du serveur de la WebGUI Web Interface (WebGUI)[4] ou d'une connexion SSH, à partir d'un terminal[6].
Concept
IPFire est la reprise, par une équipe de développeurs allemands, d'IPCop, pare-feu lui-même déjà basé sur Linux From Scratch, dont le développement à cessé en 2017. La conception modulaire permet aux utilisateurs de créer un firewall adapté à leurs besoins. Il peut être installé sur du matériel très ancien, mais il est préférable de lui offrir suffisamment de mémoire et un processeur véloce, car un firewall « à état » analyse chaque paquet (datagramme) au fur-et-à-mesure de leur entrée sur le réseau et cela demande pas mal de ressources (fonction du nombre de connexions, donc de la taille du réseau), sauf à engorger ledit réseau. Mais cela reste proportionnel aux besoins, un petit réseau local pourra, effectivement, se satisfaire d'un matériel relativement ancien et « faire le boulot », la conception d'IPFire est faite justement pour utiliser le moins possible de ressources, ce qui complique le développement. Son cahier des charges pourrait être résumé en « sécurité, économie des ressources et robustesse ».
Configuration requise
Au minimum[7] :
- processeur : depuis 2022, un processeur x86_64 ou ARM64 (et quelques autres[8]), cadencé à une fréquence de 1GHz ou plus ;
- RAM : 1GB minimum pour une configuration de base, mais prévoir plus si l'on compte ajouter des add-ons[9] et encore plus selon la taille du réseau ;
- HDD : un disque dur de 2GB minimum est requis[7], même si le système, en lui-même, nécessite seulement 200MB d'espace de stockage ; pour une configuration « de confort », les développeurs préconisent plutôt 4GB minimum (à cause des journaux et des add-ons) ; N.B. :
- IPFire supporte les disques de 3TB ou plus, de types IDE (PATA), SATA et SCSI. La plupart des contrôleurs RAID du marché sont également supportés[7].
- On peut utiliser un disque SSD (pour l'installation du système d'exploitation et des add-ons) ce qui aura pour avantage de considérablement réduire les délais de lectures/écritures, mais avec l'inconvénient de la durée de vie relativement courte (7 ans en moyenne, mais beaucoup moins sur un firewall, en raison d'un grand « TBW » (« Terabytes written », soit nombre de Téraoctets écrits)) de ce type de disques et du MTBF (qui dépend directement du TBW[10]).
- NICs : Deux cartes ethernet sont indispensables pour une utilisation minimale (« WAN » + « LAN ») et quatre sont requises pour utiliser la totalité des possibilités d'IPFire[11] :
- une pour le réseau « RED » (la patte « WAN », raccordée au modem / routeur xDSL ou fibre optique connecté au FAI) ;
- une deuxième, indispensable aussi, pour la connexion au LAN « GREEN » (la patte « LAN » du firewall, raccordée au(x) switch(es) du LAN) ;
- une troisième, facultative, pour le réseau « BLUE », raccordée à un point d'accès Wi-Fi (ou à un switch, lui-même connecté à un AP (Access Point / point d'accès)), pour gérer les connections au(x) réseau(x) WiFI à l'intérieur du réseau ;
- enfin, une dernière, facultative également, pour le réseau « ORANGE », dédié à la DMZ.
Gestionnaire de paquets Pakfire
IPFire offre un système complet de gestion de paquets. On peut ainsi disposer d'un système simple et léger qui agit comme un pare-feu, ou l'équiper de nombreuses extensions. Il peut donc s'adapter à différents scénarios. Enfin, les questions de sécurité sont rapidement résolues par les mises à jour.
Le système de base est livré avec les caractéristiques suivantes :
- Firewall
- Intrusion Detection System (Snort) de prévention des intrusions
- Serveur proxy avec filtrage de contenu et les fonctions de mise en cache des mises à jour (par exemple mises à jour Microsoft Windows, antivirus, et bien d'autres)
- Mise en cache
- Serveur de temps
- WOL (Wake up on LAN)
- VPN pour IPSec et serveur OpenVPN
- Serveur DHCP
- Dynamic DNS (DynDNS, No-IP)
- Analyse fonctions de surveillance du système et analyse des logs
- Qualité de service (QoS)
Addons
IPFire offre une grande quantité d'add-ons qui sont maintenus par l'équipe elle-même.
Liste des Addons
- Streamingserver (MPD ua) Streaming Server (MPD, etc)
- Mailserver - Postfix, SpamAssassin, Clamav, Amavisd-new
- Asterisk et TeamSpeak (VoIP)
- Enregistreur de disque vidéo (VDR) (Carte TV requise)
- Serveur de Dossier et serveur d'impression (CUPS et Samba, vsftpd)
- et beaucoup plus
Notes et références
- (en-US) « ARM », sur ipfire.org, (consulté le ).
- Michael Tremer, « IPFire 2.29 - Core Update 186 released », (consulté le )
- (en-US) « Pakfire », sur ipfire.org, (consulté le ).
- (en-US) « Web Interface (WebGUI) », (consulté le ).
- (en-US) « Using the Pakfire Console », (consulté le ).
- (en-US) « SSH Access », sur ipfire.org, (consulté le ).
- (en-US) « System Requirements », sur ipfire.org, (consulté le ).
- (en-US) « ARM », sur ipfire.org, (consulté le ).
- (en-US) « Add-ons », sur ipfire.org, (consulté le ).
- « Quelle est la durée moyenne de vie d’un SSD? », sur blog.kiatoo.com, (consulté le ).
- (en-US) « Network topologies and access methods », sur ipfire.org, (consulté le ).