Créér un Firewall sous Ubuntu et Hyper-V 2

Ubuntu est officiellement supporté au sein d’Hyper-V. Alors pourquoi pas installer un firewall (IP Tables)  avec cette distribution et faire un déploiement en cluster ?
Le management du firewall sera fait grâce a Firewall Builder sous Windows : http://www.fwbuilder.org/

Voila donc comment procéder : nous partirons d’un cluster existant avec déjà deux nœud. Nous rajouterons un nouveau nœud après l’installation et la distribution d’Ubuntu  Server 12.4.1. Il faut rappeler que cette version possède de base les extension pour Hyper-V.
Apres avoir configuré une machine virtuelle avec 512 Mo, on attache le fichier ISO et on démarre l’installation.

Dès le début, Ubuntu pose pas mal de questions:

En premier le choix du pays:

Ensuite, on configure le clavier:

On donne ensuite le nom: Dans notre cas nous avons déjà 2 nœuds nommés FWA et FWB.
Nous l’appellerons donc FWC:

Il faut ensuite créer un compte utilisateur:

On précise le mot de passe:

Puis on configure le timezone:

 

Il faut ensuite partitionner le disque:

 

On suivra l’installation par défaut:

On formate le disque par défaut:

Une fois formaté, le système commence à s’installer:

Si un proxy est nécessaire pour accéder a internet, c’est maintenant qu’il faut le préciser:

Dès lors le système télécharge les paquets nécéssaire au travers internet:

On défini le mode de mise a jour:

On installe ensuite SSH qui nous permettra de se connecter dessus avec putty ou Firewall Builder

 

On arrive enfin au bout de l’interrogatoire … en acceptant l’installation de GRUB:

Une fois l’installation terminée on peut éteindre la VM afin de rajouter une deuxième interface réseau. Il faut bien sélectionner Network Adapter et non une Legacy Network:

Nous connectons une interface sur chacun des virtual switch:

 

 

 

On peut de nouveau démarrer la VM:

On va profiter pour installer les updates qui nous sont proposées en passant la commande:

On pet ensuite a jours la liste des paquets a partir d’internet en lançant la commande:

 

Comme l’on va utiliser la fonction cluster, il faut installer le paquet heartbeat avec la commande:

 

Une fois installer, on configure les adresses IP sur les deux interfaces:

Apres un petit redémarrage, on a les interfaces bien configurées:

Maintenant, il faut configurer lheartBeat.

Pour cela il faut créér 3 fichiers dans /etc/heartbeat.

Le premier ha.cf avec le contenu suivant:

 

 

On créé ensuite le fichier haresources :

Pui le fichier authkeys  avec le contenu suivant :

il faut ensuite changer les permissions en passant la commande:

chmod 600 /etc/heartbeat/authkeys

Un petit reboot et le firewall est presque prêt !!!

Apres avoir installé firewall builder sur un pc d’administration, on va configurer les firewall et ajouter ce nœud au cluster:

On créé un nouvel objet de type Firewall appelé FWC:

Nous allons configurer le firewall manuellement

 

On ajoute deux interfaces (interne et externe) puis on affecte les adresses IP  spécifiées au niveau système:

eth0:

 

eth1:

 

Le nouveau firewall est enfin défini ! :

 

Il faut définir quelle interface sera utilisée pour configurer et administrer le firewall: pour des questions pratiques, on utilisera l’interface externe,ce qui ne sera pas le cas en production…

 

On va ensuite ajourer au cluster existant les deux interfaces de notre nouveau nœud FWC:

 

On regroupe les interfaces Eth0:

 

Puis les Eth1:

 

Reste maintenant a compiler les règles:

 

Apres compilation, on installe les règles sur les différents nœuds:

 

Il est plus facile de cocher “perform batch install” pour éviter de retaper le mot de passe root pour chaque nœud.

Et voila !!!!

Il ne reste plus qu’a faire en sorte que le firewall démarre au démarrage en modifiant le fichier rc.local comme suit:

 

Le cluster est maintenant opérationnel: