Comme je l'ai expliqué dans un précédent billet, mon serveur IPCOP a rendu l'âme. J'ai acheté une nouvelle machine à pas cher mais trop neuve pour la version 2.4 du noyau Linux embarqué dans IPCOP 1.4.21 qui ne reconnait pas le contrôleur ethernet de la carte mère, élément vital quand on a besoin de trois cartes réseaux (RED pour l'internet, GREEN et BLUE pour les réseaux pédagogiques et administratifs) sur une carte micro-ATX qui ne comporte que deux emplacements PCI. Je rappelle qu'à l'aide d'IPCOP j'établis dans mon lycée un routeur pare-feu et proxy avec un filtre parental performant pour que les ordinateurs retrouvent leur fonction première c'est à dire un outil de travail et pas un support pour facebook.

Comme exprimé dans le dernier billet sur le thème, j'ai trouvé la distribution Ipfire un fork d'IPCOP assez décrié au sein de cette communauté car les auteurs ont tout simplement retiré les noms des développeurs qui ont créé la distribution de base. J'avais dit que j'apporterai quelques précisions sur cette distribution, je remercie d'abord toutes les personnes qui m'ont proposé d'autres solutions, et plus particulièrement le témoignage de jdh participant du forum Ixus qui constate lui aussi le vieillissement d'IPCOP et qui rappelle que mélanger le pare-feu et le proxy ce n'est pas bien, mais c'est quand même tellement pratique !

Au dernier billet, j'avais écrit que l'installation ne posait aucun problème pour tout habitué d'IPCOP, je précisais aussi que l'interface était assez déroutante mais qu'au final j'avais réussi à retrouver mes billes. Il va m'en falloir des heures avant de maîtriser l'outil, j'ai cela dit un petit peu avancé, en tout cas suffisamment pour avoir un contrôle parental complet à la semaine avec l'ouverture de sites bloqués le mercredi après midi pour que les internes puissent profiter de facebook et d'autres sites qui leur permettent de maintenir le contact avec leurs proches alors qu'ils sont loin de chez eux (voyez que j'aime bien mes élèves). Avec IPCOP on pouvait faire un traitement à la journée, je n'avais pas réussi à faire à la demi journée, là c'est fait, donc au final je suis au delà de mes objectifs !

Comme on peut l'observer dans l'écran 1 l'interface n'a pas grand chose à voir avec celle d'ipcop, quand cette dernière fonctionne en onglets, ici c'est du lien hypertexte. Par exemple pour déclarer les IP valides dans la zone bleu il faut cliquer dessus c'est particulièrement déroutant.

ipfire01.jpg

L'écran 2 est plus classique, les écrans de statistiques, les graphiques sont très nombreux dans la distribution et vous fournissent de précieuses informations.

ipfire02.jpg

L'écran 3 éveillera par contre plus de souvenirs chez les utilisateurs d'ipcop, on retrouve en effet l'endroit où l'on applique ou non le proxy, ce qui permet par exemple de distinguer le réseau administratif du pédagogique, avec les professeurs et le personnel qui ne subiront pas le contrôle parental.

ipfire03.jpg

ipfire04.jpg

Plus intéressant dans la capture 5, je ne connais pas d'équivalent sous Ipcop c'est la limite de bande passante qu'on peut accorder à un réseau, mais aussi la limite de download. On peut imaginer facilement une application domestique avec une coupure du net de votre enfant s'il télécharge trop d'isos Linux ou autre chose ... surtout autre chose.

ipfire05.jpg

Toujours dans cette capture 5, la possibilité d'établir des plages horaires d'accès au net, je ne l'ai pas fait pour ma part puisque la salle n'est pas en libre accès pour les élèves. Sur votre droite content filter, nous amène à la capture 6. Comme vous pouvez le voir, vous avez ici toutes les catégories de blocage par défaut, le porno, les réseaux sociaux, les tchat etc ... Les catégories sont très nombreuses mais ce n'est pas tout.

ipfire06.jpg

Comme on peut le voir dans la capture 9, il est possible de choisir une autre liste que celle de l'université de Toulouse, de mémoire, 2 autres listes étaient disponibles, avec bien sûr la possibilité d'assurer une mise à jour programmée ou manuelle. Dans la capture 7, la possibilité de bloquer manuellement des domaines, ou de faire une liste blanche, la possibilité de bloquer une expression, comme on peut le voir, c'est riche. Dans la capture 8 on remarquera l'édition du message qui apparait lorsqu'une page est bloquée, attention le l et l'apostrophe derrière m'ont tronqué le message, il fallait bien que je trouve un bug.

ipfire07.jpg

ipfire08.jpg

ipfire09.jpg

Toujours au niveau de cette capture "set time constraint" va nous permettre d'arriver aux écrans 12 et 13 qui permettent de définir une plage horaire dans laquelle on change les règles. Dans l'écran 13 on voit bien que le mercredi après midi sur les adresses déclarées je laisse passer tout (any) de 13 à 18 heures. J'affinerai la règle, je l'ai faite dans la précipitation, il semblerait que si vous définissez une adresse globale type 192.168.1.0/255.255.255.0 ça ne passe pas, alors qu'en déclarant chaque poste ça passe. Seules les adresses paires apparaissent dans la règle, il s'agit d'une erreur d'affichage, toutes les adresses sont bien présentes si on édite la règle. Dans la capture 11 on pourra observer l'efficacité du filtrage et les sites bloqués, il y a d'ailleurs quelques conversations que je vais avoir avec certains élèves ... Enfin dans la capture 10, l'écran de mise à jour de la distribution, mais aussi celui d'installation des modules, ils sont très nombreux, je n'ai pas même pas commencé à exploiter, ce que je vais pouvoir faire puisque ma solution est en place.

ipfire10.jpg

ipfire11.jpg

ipfire12.jpg

ipfire13.jpg

En conclusion : Ipfire est une heureuse surprise qui apporte plus qu'une solution de secours pour les gens qui ont un matériel trop récent pour Ipcop, mais une vraie plus-value. Pour moi les points forts sont les suivants :

  • une communauté dynamique qui développe dans le sens de l'utilisateur
  • de nombreux modules qui ne s'ajoutent pas en sur-couche à l'application par des moyens complexes (passer par ssh par exemple pour copier puis exécuter une commande, ce n'est pas compliqué mais c'est bien sûr moins simple que d'installer un module en deux clics de souris)
  • de nombreuses fonctionnalités.


Le point faible, c'est certainement le fait que la distribution soit peu connue, donc peu utilisée, notamment en France (faites une recherche dans google sur ipfire vous allez voir qui vous allez trouver vite), la seule communauté est de plus majoritairement Germanophone puis Anglophone, ce qui signifie qu'au niveau du support il vaut mieux manier la langue de Shakespeare.