On tente l'aventure...

par **fouhaa** » 09 Août 2004 13:48

Salut

Je pense tenter l'aventure pour moi...

Mais comme je dispose pas de machines, je pense créer une machine virtuel pour permettre l'utilisation d'IPCop. (win 2003 serveur qui sera le SE de base)
Quels sont les besoins d'IPCop pour une connexion 512 kbps ?? (en terme de perfs)
Quel est la version la plus stable aujourd'hui
Supporte il l'authentification de 9 qui est un peu problématique parfois. (moi elle me pose probleme)
J'ai lu le document sur le DNS dynamique. Il me faudrai un qui puisse rediriger tous les ports demandés vers mon IP dynamique, le quel fait ce service

Voila, ca fait beaucoup de questions je sais... mais je dois mettre en place ca des que je rentre en septembre... et comme vous avez de l'experience...

Merci d'avance...

@ +

par **dapsaille** » 09 Août 2004 15:13

Bonour à toi ....

Bienvenue dans l'aventure ^^

Pour les besoins d'ipcop perso j'utilise un 486 et 2 cartes reseau en ISA avec 32 de ram ...

Certes c'est leger mais ca tournes ... prends plutot un P2 233 et 128 de ram tu seras a l'aise ^^

Pour le disque dur et bien ca depend de ce que tu veux comme log mais bon un 3 giga devrait largement suffire .

La version la plus stable ?

humm ipcop 1.3 avec ses 9 fixes d'installes (installables par l'interface web ultra simple)

J'ai 3 amis chez 9 et bien d'apres ce que j'ai pu comprendre c'est de leur coté que ca "merdoie" pas du cote du serveur (win ou linux d'ailleurs) donc la dessus je ne pense pas que ca arrangeras forcemment tes soucis de connexion ....

En ce qui concerne le point du DNS dynamique je n'ais pas tout compris :oops:

... peux tu expliquer clairement ton souhait je te prie ?

Au plaisir de te lire

par **fraedhrim** » 09 Août 2004 16:25

Salut !

Je ne pense pas qu'utiliser une machine virtuelle pour faire ta passerelle soit très sécurisé. Il y a un risque de fuites vers ton 2003 à mon avis. Car tu auras beau faire une machine virtuelle n'empèche que tu auras quand même tes interfaces réseau de branchées sur la même machine physique.

Enfin moi je ne tenterais pas le coup comme ça.... Mais si quelqu'un d'autre à un avis différent je suis toute ouïe.

Sinon va falloir piquer une machine à un de tes pôtes (discretos).... :shock:

A+

par **popoch** » 09 Août 2004 16:44

pour ta machine virtuelle et sa configuration :

Une fonction d ipcop sera determinante :
Avec ou sans proxy ???

Si non :
dans ce cas l espace disque ne sera pas tres important (a moins que tu ne rajoutes des addons).
dans ce cas la ram aussi n est pas trop importante.
--> dans ce cas 2 go de hdd et 32 voir 64 mo de ram partage pour ta machine virtuelle et c est tout bon

PS : attention aux interfaces reseaux, tu en aura besion d au moins 2 sur ton srv 2003 ( dans le cas d une config Green + Red)

Utilise de preference un routeur ou un modem ethernet pour ton interface Red.

Bonne chance :wink:

par **fraedhrim** » 09 Août 2004 17:42

Hé ?!

Mais ça ne choque personne de faire une passerelle sur une machine virtuelle ?!

A mon sens c'est comme mettre une porte fermée à double tour au milieu d'un champ....

Concrètement comment être sûr qu'aucune connexion ne peut se faire vers le 2003 directement dans la mesure où c'est lui le PC hôte de la machine virtuelle et que c'est lui qui dispose des connexions et en a le contrôle et l'accès complet ?

Je suis curieux là d'avoir l'avis de vous autres....

A+

par **popoch** » 09 Août 2004 17:55

evidemment c est loin d etre terrible mais bon... s il a decide de le faire alors il faut lui donner un coup de main

par **fouhaa** » 09 Août 2004 18:09

Merci beaucoup

en fait je pense faire un serveur web, smtp/pop et ftp donc il faut que le DNS dynamique puisse envoyer les requetes sur les ports 80,25,110,21 éventuellement d'autres suivant si je fais un forum comme on m'a demandé...

Au niveau connection 9 j'ai un modem USB, et je mettrai deux cartes réseau que je désactiverai dans le profil systeme.
On peut désactiver la fonction plug'n'play de Ipcop je suppose ???

Pour deux machine je pense pas faire de proxy...

J'ai pas du tout d'autre solution que ca au niveau matériel, peut-etre une carte rezo mais pas d'autre moyen...

merci encore :biz:

par **fouhaa** » 09 Août 2004 18:28

Pour ton problene de port au millieu d'un champ. si j'installe un SE basic sur le quel je monte mon IPCop d'un coté et mon Win2003 seveur de l'autre ca sera moin bancale ??? ou ca change rien ?

par **fraedhrim** » 09 Août 2004 19:51

Ben je ne veux pas te faire peur. Faut voir. Avoir un bon firewall sur le 2003 c'est peut-être envisageable.

A mon sens tu risques d'avoir à ouvrir des ports dont tu ne sauras pas forcément s'ils servent à ta machine virtuelle ou à ton Windows 2003. Mais ptet que je suis parano.

Quitte à t'aider coûte que coûte si tu veux faire un IPCOP (popoch) je préfère te prévenir pour que tu saches vers quoi tu vas.

Il faut avouer que je ne connais pas exactement en détail (le port machin, le buffer bourrier,....) ce qu'implique l'installation d'une passerelle sur une machine virtuelle mais je me doute que ça ne doit pas être idéal étant donné que tu rajoutes un max de couches avant d'arriver aux fonctions de filtrage firewall.

Bref que cela ne t'empèche pas d'essayer. Surtout pour du perso. Mais blinde bien tes protections.

Après cela il sera intéressant de faire un test de firewall et de nous donner le résultat. Si ça se trouve je suis qu'un gros parano.

Bon courage. :wink:

par hb » 09 Août 2004 20:43

je n'ai pas d'objection contre une bonne VM puisque je compte bien faire de meme prochainement.
pour la secu il faut dédié une carte avec uniquement le "VMWare Bridge" et pas tcp/ip pour l'ipcop_RED
ainsi cela doit rester viable et mieux securiser, mais cela reste tout de meme moins propre qu'une machine dedié bien sur !
perso j'ai pas trop le pb car j'utilise le port comme de mon modem 56K, LOL

il faut eviter les modem USB car certains ont eu du mal à les faire fonctionner en VM.

sinon, lorsque tu auras installé IPCOP tu pourras choisir dans la comboBOX tout une liste de serveur Dynamiques DNS, moi j'utilise DynDNS, mais tout le monde n'est pas obligé d'en faire autant ...

par **Darkalia** » 09 Août 2004 20:50

Tout d'abord bonjour

.
Pour tes services de DNS dynamique, je te conseil http://www.dyndns.org , il dispose de moult client sous toutes les pateformes.
Tu as aussi http://www.no-ip.com , mais par experience personnelle, je lui prefere le premier choix.

par **fouhaa** » 10 Août 2004 11:11

Merci bien les gas, c'est vraiement cool de m'aider je vais essayer de mettre un scanner de port sur l'interface rouge et de voir ce que 2003 récupere comme trame. Si il chope tout c'est que c'est une passoire sinon c'est que c'est tout bon mais ca m'étonnerais que ca marche.
Quelqu'un a tester Virtual PC 2004, il gere mieux le réseau que Vmware ???

Je connaissait no-ip mais dyndns, pourquoi pas.

Merci pour vos conseils, des que je peux je test et je vous balance le résultat.

par **popoch** » 10 Août 2004 11:48

moi perso,

j utilise vmware workstation v4, et gsx server et aucun pb a l horizon !

par **fouhaa** » 12 Août 2004 14:30

Salut a tous

Bon apres quelques réflexion sur les outils qui permettront de tenter l'aventure je me suis installer un serveur 2003 version évaluation, j'ai mis Virtual PC et wmware, histoire de comparer.

Installation d'IPCop sur Virtual PC --- OK
Installation d'IPCop sur WMware --- Planté pas de HD

Wmware disqualifié pour quelques instants...

Config pour etre claire :

TEST---TEST---TEST---

C'est un test --- Tout est sur un Lan 3 hub 100 rien connecté au réseau de l'entreprise ni au web

Poste IP 10.11.12.14
|
|
|
|-----" ` "-->meme machine physique
`(RED IPCop 10.11.12.13
`(Green IPCop 192.168.1.1
`|
`|
`|
`|
`(Interface SRV 2003 pour IPCop 192.168.1.2
`(Interface pour Lan 172.16.1.1
|
|
|
Poste pour Lan 172.16.1.2

Attention sur la machine phisique 2003, j'ai 4 cartes réseau, 2 pour IPCop, deux pour SRV 2003 toutes les 4 ont des adresse connu du 2003.

1er Ping du serveur 2003 vers IPCop ping 192.168.1.1
Reponse...

Mon but est vérifier qu'une carte est utilisé pour entré, et une carte pour sortir. JE VEUX RENDRE INCONNU DU 2003 MES CARTES IPCOP afin d'etre sur qu'avec un sniffer on récupere pas tout...

Je débranche pour chercher quel carte va avec quel interface. Résultat : la meme carte est utilisé pour entré, la meme pour sortir. je débranche le cable ca marche plus

C'est normal ???? ping 127.0.0.1 sans cable ca marche

Enfin c'est pas ce que je veux.

Donc comme y a pas trop d'option pour le réseau sur Virtual PC je passe sur wmware et j'essaye de regler le disque dur.
Il lui faut une vraie partition. Donc je rajoute un HD, je configure WMware pour utiliser ce HD je relance l'installe et ca marche.

Ensuite je vais dans la config réseau de wmware.

!!! On peut affecter une carte a une interface virtuel !!!! -----> ce que je cherche C'est tout bon !!!!
(c'est la premiere fois que j'utilise cet outil merveilleux désolé pour les habitués)

Donc je recommence mon permier PING, et la c'est tout bon Il faut deux cable, une qui sort, l'autre qui rentre ( peu utiliser un cable croisé)
J'affine mon test :

Je désactive TCP/IP pour windows... sur les deux cartes IPCop (affecté aux interfaces virtuel), je redémarre...

PING 192.168.1.1
REPONSE........................................

Comme c'est trop bien !!!!!!!!!!!

Depuis 192.168.1.2 --> https:\\192.168.1.1:445 -----> impossible d'afficher la page :marre:

Depuis le PC du LAN 172.16.1.2 passerelle 172.16.1.1 --> https:\\192.168.1.1:445 --> Access Denied

:?:

Le serveur 2003 marche pas, un poste encore plus loin fonctionne (Access Denied je considere que c'est une réponse d'IPCop...) Pourquoi ???

Si quelqu'un a une idée ca m'aiderai peut-etre mais je cherche...
Je vais tenter de voir ce qui se passe sur le reseau entre IPCop et srv 2003, voir...

Le but est je le rapelle de placer la porte blindé le + au bout possible du champ...

Voila pour les premiers test fraedhrim y en a qui reste encore a faire...

Ce qui est con c'est de ne pas pouvoir profiter de la stabilité de Linux, je me tape les erreurs windows mais la faut une vrai machine (Ca a merdé quand j'ai désactivé TCP/IP)
IPSEc pris en charge par IPCop ou VPN ??? Histoire de tout blinder...

Au fait c'est un 450 avec 382 Mo 2 HD 1 de 6Go srv 2003 et un de 4 Go pour IPCop

Désolé d'etre long mais c'est pas intéressant ???

@ +

par **fouhaa** » 12 Août 2004 18:54

Si ca interesse toujours quelqu'un...

Le probleme du site web c'était la carte réseau qui voulait pas marcher avec un hub 10 c'est reglé...

Sinon pour la capture de trame il ne récupere rien, meme si il les voit passé, je vais donc essayer avec un outil non micrsoft (Les pirates ne les utilisent pas)...

La redirection de port est OK par contre le VPN, c'est plus chaud je tente de passer en 1.4, un peu de doc et on continu...
Je vais voir ce que j'obtient en scannant l'interface rouge, mais d'apres mes précédents tests ca devrai bien marcher...

@+

On tente l'aventure...

On tente l'aventure...

Qui est en ligne ?