Architecture réseau autour de IPCOP

[specialfox]

Bonjour,

Mon intention serait de monter une architecture réseau autour de IPCOP. voici mon schéma :


|---------- FW avec IPCOP -------- WAN
|
|
|---------- Proxy (squid) IPCOP
LAN |
|
|
|---------- DNS, NTP, DHCP IPCOP
|
|----------- Machine X

J'espère que c'est clair pout tout le monde.

Le but est de répartir IPCOP sur plusieurs machines et de lancer un service particulier sur celle-ci.

Que pensez-vous de cette architecture pour environ 300-350 machines ?

PS: une autre petite question tant que j'y suis, malgré l'interface graphique d'IPCOP, peut-on avoir accès à toutes les options des logiciels tel que SQUID, IPTABLE, DNS comme si on l'installé à partir des sources.

En gros peut-on paramétrer la petite option qui tue dans les fichiers de config des logiciels et est-ce que sa sera reconnu par IPCOP.

Voilà les questions qui me chagrinnent. Merci pour vos renseignements et vos réponses.

A+ et vive IPCOP

[touffator]

Salut,

je trouve etrange ta config, ipcop est un FW je ne comprend pas tres bien pourquoi tu veux l'utiliser comme serveur DNS, DHCP, NTP :-/ a mon avis les charges demandé ne necesite pas toutes ces machines, tu met un poste correct pour ton IPCOP FW sur lequel tu actives le proxy et apres si tu veux vraiement une machine séparrée pour ton DHCP, DNS, NTP tu met une distrib genre esmith ou autre mais qui est plus orientée serveur...

sinon pour ta config ca doit fonctionner comme tu le décrit, juste pour avoir plus de précisions :

tu met ton réseau comment ?

FW IPCOP => Proxy IPCOP => LAN avec : Machine X + Serveur DNS.... IPCOP
Ou
FW IPCOP => LAN avec Proxy IPCOP + Machine X + Serveur DNS ... IPCOP

Moi je te conseillerais le 2° config en bloquant l'accces au port 80 sur ton FW sauf pour l'adresse ip du proxy

++
TouF

[specialfox]

Merci pour ta réponse

Pour moi la deuxième que tu as cité semblerait la meilleur en laissant passer le port 80 pour internet juste pour le proxy.

Peux-tu me dire si je peux accéder aux paramétres des fichiers de configuration de SQUID, DNS, comme si je l'installé avec le fichier source.

Merci.

[Franck78]

Tu peux tout modifier. Mais : l'interface graphique ne connait qu'un seule modèle de fichier de conf. Si par hazard tu valides la conf de squid, tu écrases toutes tes modifs à la mano. Si tu le sais, c'est bon. Puis les options qui tuent, y'en a pas temps que ça.

Tu peux suivre le sujet "proxy", le bonhomme (pas la mémoire des pseudos désolé), veut un Squid monté sur ipcop sur son Lan.

Une machine bien taillée pour 350 clients (XP2200+, 256 mo) ne sera pas mise à genoux. Quelle vitesse le liaison derrière ? C'est là le goulet si il y en a un



Bye

[specialfox]

Merci pour vos réponses.

Le débit actuel de notre ligne internet est une LS à 2 Mbits/s de FT.

Merci.

[guiguid]

Salut,
Pour ipcop en frontal internet, je suis carrement pour .

Pour le reste :
prend plutot un distrib, ou tu n'installes que le minimum + Webmin (avec seulement le module pour le serveur qui va bien et le module Historic Syteme Statistic) + iptables qui bloque tout sauf ce que tu as besoin.

ce sera plus souple a administrer. (mise a jour, reglage au poil ....)

Guillaume

donc :


|---------- FW avec IPCOP + snort red +guardian red-------- WAN
|
LAN |
|
|
|---------- Mandrake mini + urpmi squid DNS NTP DHCP webmin ssh + parametrage iptables au poil + snort green.
|
|----------- Machine X

(bien sur , le chois de mandrake n'engage que moi, a remplacer par : redhat, debian, suse .....)

[specialfox]

Pour moi il me semblait plus facile d'avoir une distribution du type IPCOP, pour tous les services réseaux de mon réseau.


IPCOP fournit tous les services réseaux nécessaires (DNS, DHCP, NTP,...) avec une interface agréable, de plus il existe une multitude de Add-on qui là rende évolutive.


Je ne suis pas contre d'installé ipcop en frontal et (je préfère redhat /fedora) mais ça n'engage que moi sur le reste du lan pour les services réseaux mais je n'en vois pas trop l'intérêt, si vous pouviez argumenter un peu plus...


Merci pour toutes vos réponses.

A+

[guiguid]

IPCOP fournit tous les services réseaux nécessaires (DNS, DHCP, NTP,...) avec une interface agréable, de plus il existe une multitude de Add-on qui là rende évolutive.

la je ne suis pas d'accord !

Webmin + n'importe quelle distrib gere tous les services / serveurs avec une interface tres agréable (d'accord, c'est subjectif) avec plusieurs skins (si celui par defaut ne te convient pas.
Mais l'avantage certain c'est pour demain : comment tu vais si dans 3 mois/ 1 an il faut un serveur d'email en interne ? sous ipcop, il te faudra le conpliller, le maintenir sans interface web. ......
Alors qu'avec webmin + n'importe quelle distrib, tu pourras le faire tres facilement, et tu auras une garantie sur l'evolution de ton serveur (securite....)
A l'heure actuelle, je vois mal quelle application n'a pas d'interface web via webmin.

En fait il faut utiliser les distribs pour ce pour quoi elle sont concue et vont evoluer.
Attention aux addons, leur évolution n'est garantie par personne !

Voila.

Guillaume

(reflechir maintenant evite des problemes futurs ....)

[Taltos]

Salut !!

personnellement je vais monter la config suivante:

Wan
|
|
IPCOP--------orange----e-smith
|
|
green
|
|
LAN avec exchange


voila ipcop ne fait que ce pour quoi il est fait: FIrewall

e-smith lui:
serveur web en intranet
recupere les mails les scan et les envoie au serveur exchange
proxy
squid guard

voila ... cela me semble etre une config evolutive, protégée et assez simple a mettre en place...

elle est destinée a 50 users utilisant peu internet et ayant des données assez confidentielles...


qu'en pensez vous ?

A+

[guiguid]

pas mieux.
impec

[braouazou]

A l'heure actuelle, je vois mal quelle application n'a pas d'interface web via webmin.

Si moi je sais Exim! Il n'existe qu'un outil de monitoring des logs et de la file d'attente pour Exim... Ca aide mais pour la configuration, il faut encore mettre la main dans le 'camboui' (remarque que c'est peut être pas plus mal)...

[pkaer]

Salut,

Je rejoins Taltos sur son architecture. Elle est d'ailleurs confirmée par Tomtom & Remi sur un topic sur le forum SME.

viewtopic.php?t=14754

@taltos
Par rapport à ta config je veux utiliser sur la SME la fonctionalité VPN/PPTP pour accéder à des serveurs Citrix/TSE qui sont sur mon LAN. J'espère que cela peut passer par les pinholes.

Pour MS Exchange
Comment penses tu récuperer les mails, les scanner et les rediriger vers Exchange ?
Pour ma part, je pensais récupérer le port 25 sur l'IPCop, le transferer sur un port quelconque de la SME (ex: 2525). Ce port sera le port d'écoute de Interscan Virus Wall qui après le scan transferera le mail sur le port 25 d'Exchange. Même topo pour les flux HTTP et FTP

Utilises-tu Outlook Web Access si oui comment penses-tu résoudre le problème puisque le serveur Exchange est sur le LAN ?

En général
Je pense bloquer en sortie tous les ports sur IPCop pour n'autoriser que ceux passant par la SME
et assurer ainsi le filtrage des flux et des URL (SquiGuard).

@+
PK

[Taltos]

Salut,

Je rejoins Taltos sur son architecture. Elle est d'ailleurs confirmée par Tomtom & Remi sur un topic sur le forum SME.

viewtopic.php?t=14754

Rejoins moi, rejoins moi.. plus nous sommes de fous moins il y a de riz

@taltos
Par rapport à ta config je veux utiliser sur la SME la fonctionalité VPN/PPTP pour accéder à des serveurs Citrix/TSE qui sont sur mon LAN. J'espère que cela peut passer par les pinholes.

Excellente question, je te remerci de me l'avoir posé ! je ne sais pas si j'utilise la fonctionnalité VPN de l'ipcop ou celui de l'e-smith ?
si quelqu'un a une opinion ?

Pour MS Exchange
Comment penses tu récuperer les mails, les scanner et les rediriger vers Exchange ?
Pour ma part, je pensais récupérer le port 25 sur l'IPCop, le transferer sur un port quelconque de la SME (ex: 2525). Ce port sera le port d'écoute de Interscan Virus Wall qui après le scan transferera le mail sur le port 25 d'Exchange. Même topo pour les flux HTTP et FTP

Pour exchange, je pense redirger le port 25 de l'ipcop sur le e-smith, la tu a une option de config toute $%#&! (case a cocher) ou tu met l'adresse IP de ton exchange, dans ce ca e-smith renvoie tous les messages au serveur exchange... les derniere versions d'e-smith ont clamv+je sais plus quoi...

l'autre solution c'est de recevoir les message sur e-smith (en ayant creer les comptes de users dessus puis d'utiliser un connecteur (il en existe des gratuit mais je ne me souvient plus de leur noms) pour que le serveur exchange puisse relever les boites mail a partir d'un serveur pop...

Utilises-tu Outlook Web Access si oui comment penses-tu résoudre le problème puisque le serveur Exchange est sur le LAN ?

Alors ca c'est aussi une excellente question... j'ai deja fait sortir le webmail en creeant une redirection port 7587 vers port 80 sur le lan donc en faisant http://serveur.com:7587 pouf tu tombe sur le web mail... l'autre soluce c'est d'utiliser proxypass une contrib sur e-smith .. la c'est apache qui redirige des requetes sur le lan mais cela ne fonctionne pas chez moi ... je pense que apache n'aime pas l'asp et autres truc que IIS et exchange doivent utiliser ....


j'ai une autre solution c'est de mettre en zone orange un autre serveur exchange 2003 en frontal de celui sur le LAN....

et une autre soluce, qui doit mettre donnée par quelqu'un qui traine sur IXUS et qui m'a promis de me dire comment il font dans ca boite ....

En général
Je pense bloquer en sortie tous les ports sur IPCop pour n'autoriser que ceux passant par la SME
et assurer ainsi le filtrage des flux et des URL (SquiGuard).
@+
PK

pour les proxi utilisera tu le proxy d'e-smith ou d'ipcop ?
e-smith utilise squidguard alors qu'ipcop est sur dansguardian qui a l'air d'ete plus efficace ....


Bref du boulot en perspective ... vous avez pas fini de me voir ...

A+

[pkaer]

@taltos

Je pense utiliser le proxy SME pour satisfaire à mes contraintes de filtrage de flux SMTP, HTTP et FTP. Donc Proxy+SquidGuard sur SME
IPCop utilise aussi SquidGuard (voir Petit Poulpe ou l'addon de Franck78). L'inconvénient de DansGuardian c'est qu'il est seulement gratuit pour un usage perso or je veux utiliser cela en entreprise.

Pour le VPN, j'ai choisi le PPTP de SME pour des raisons de simplicité au niveau de la mise en oeuvre sur des nomades Win2k et XP qui intègrent de base le client VPN/PPTP. Utiliser l'IPSec de IPCop, pour l'avoir déjà fait sur des nomades , est plus lourd à mettre en oeuvre coté Win2k/XP.

Pour le OWA (Webmail d'Exchange), d'après ce que j'ai pu en lire, il est conseillé de le mettre en DMZ et d'ouvrir des ports vers le serveur Exchange dans le LAN. Voici deux articles MS qui en parle

http://support.microsoft.com/default.as ... -us;259240
http://support.microsoft.com/default.as ... -us;238954

On peut se tenir informé de l'avancement de nos projets. Le mien doit être abouti pour fin mai

@+
PK

[Taltos]

@taltos

Je pense utiliser le proxy SME pour satisfaire à mes contraintes de filtrage de flux SMTP, HTTP et FTP. Donc Proxy+SquidGuard sur SME
IPCop utilise aussi SquidGuard (voir Petit Poulpe ou l'addon de Franck78). L'inconvénient de DansGuardian c'est qu'il est seulement gratuit pour un usage perso or je veux utiliser cela en entreprise.

moi aussi c'est pour une entreprise
donc si il faut payer DansGuardian c'est envisageable... il me semble etre infiniment plus souple....

Pour le VPN, j'ai choisi le PPTP de SME pour des raisons de simplicité au niveau de la mise en oeuvre sur des nomades Win2k et XP qui intègrent de base le client VPN/PPTP. Utiliser l'IPSec de IPCop, pour l'avoir déjà fait sur des nomades , est plus lourd à mettre en oeuvre coté Win2k/XP.

Je pense pareil

Pour le OWA (Webmail d'Exchange), d'après ce que j'ai pu en lire, il est conseillé de le mettre en DMZ et d'ouvrir des ports vers le serveur Exchange dans le LAN. Voici deux articles MS qui en parle

http://support.microsoft.com/default.as ... -us;259240
http://support.microsoft.com/default.as ... -us;238954

Tes articles sont pour exchange 5.5 moi je passe en serveur 2003 et exchange 2003 autant dire qu'a mon avis ca va pas mal bouger, donc tes articles sont pour moi out to date
ce qui est sur c'est que cela va etre la partie la plus complexe du projet .....

d'ailleurs pourquoi ne pas faire cela:

WAN
|
|
IPCOP----Orange---E-smith-----LAN avec exchange
|
|
green RIEN


Quelqu'un pourrait m'expliquer les avantages inconveniants de cette config ????

On peut se tenir informé de l'avancement de nos projets. Le mien doit être abouti pour fin mai

@+
PK

Alors c'est une EXCELLENTE idée !! surtout que j'ai 6 mois pour la mettre en place
donc tu sera mon cobaye

plus serieusement je crois que c'est effectivement une tres bonne idée de bien expliquer notre projet ...
je te propose de continuer sur ce thread la pour tout ce qui est
Choix de l'infrastructure
Avancement
Problemes AVEC leur solutions..

et de poster dans des threads separé lorsqu'il y a des problemes pour lesquels nous n'avons pas de soluce et de reposter ensuite ici lorsque nous avons resolu le pb..

comme cela quand nous aurons fini, quelqu'un qui lira notre thread, pourra grosso modo monter une infra comme la notre sans trop de pb...

A+