Red + Orange + Blue, sans Green

[supersosso]

bonjour,
tout est dans le titre...., j'ai pas de reseau cablé chez moi que du wifi, je voudrais sécurisé le tout d'où l'idée d'utiliser ipcop.
J'ai une machine avec 3 carte reseau, et un serveur ftp.
Est-il possible de faire tourner ipcop sans interface green ?
J'ai bien trouvé la solution de brancher monpoint d'accés wifi sur l'interface green, mais cela rend l'utilisation moins sécurisé....


Est-ce que quelqu'un a déjà fait ça ? comment ?

merci



PS: je ne peux pas ajouter une 4eme carte reseau (ce qui simplifierai amplement le travail) car il y a plus d'emplacement dispo (desktop)

[loberty]

Bonjour,

Ton réseau GREEN tu peux en faire ce que tu veux.
Ensuite juste à toi de sécuriser cela avec des règles.

En fait ton GREEN va être ton WIFI, au lieu de BLUE.

La sécurité porte sur :
. les accès externes vers ton réseau interne
. les connexions WIFI

Dans le cas de la sécurité WIFI de toute manière cela se fait sur le point d'accès (WEP), donc cela ne concerne pas IPCOP, que ce soit en BLUE ou GREEN.

Donc si tu met en RED + GREEN + ORANGE, tu n'a que les règles à gérer dans le firewall.

Si je ne me trompe pas, avec du WIFI le risque c'est que quelqu'un d'étranger s'y connecte et est accès à test stations.
Que ce soit en BLUE ou en GREEN, IPCOP n'y peux rien, puisque toutes tes stations seront sur l'AP.

A+

[supersosso]

mais en adoptant ce concept je ne peux pas bloqué par les mac/ip etc....ce qui se fait d'une manière simple dans l'inetrface blue.
D'où l'envie de virer la green

[loberty]

Pour gérer de manière graphique le filtrage par adresse MAC, je t'invite à utiliser le addons BlockOutTrafic.

Tu installes déjà Addons Server (http://firewalladdons.sourceforge.net) puis BlockOutTrafic.

A+

[jdh]

Avec IPCOP, il faut toujours mettre une couleur sur une interface. Pour moi Green et Blue sont avant tout des interfaces "internes". La distinction ne sert que si on veut vraiment diférencier un réseau filaire et un réseau wifi (tous deux internes).

Si tu ne veux pas faire de différences (ou si n'as pas de réseau filaire), il suffit de "fondre" les deux réseaux.

J'utilise un "acces-point" Wifi (Linksys WRT54G) comme "pont" seulement. Il est relié par fil au côté "Green" de mon firewall (qui n'est pas IPCOP), non pas par la prise "Internet" de l'"acces-point" mais par une des autres prises RJ. L'intéret est que les PC Wifi sont au final dans le même réseau que les PC du réseau filaire.

La sécurisation du côté Wifi est alors bien sur nécessaire. J'ai joué sur

- WPA+TKIP avec une clé bien aléatoire (24 car. dont 20 aléatoires)
- SSID sans broadcast assez long (20 car. dont 16 aléatoires)
- filtrage MAC

Chacun de ces éléments est contournable plus ou moins facilement. L'ensemble est plus difficilement contournable.

Enfin, je conteste le point de vue d'IPCOP d'autoriser tout en sortie à partir de Green. Il me semble nécessaire de controler aussi cela !

[supersosso]

J'ai bien pensé à cette solution, mais mon point d'acces ne me permettant rien d'autre que le WEP je voudrais filtrer au niveau des associations MAC/IP ce que permet l'interface blue, dans l'interface green je ne suis pas sure de pourvoir faire ça.

Je n'ai pas une folle envie que mes voisins se connectent sur mon compte te vois mes fichiers...

Si je passe par cette "astuce" y a t'il moyen de n'autotiser que certaines MAC/IP ?

[loberty]

Pour bloquer des adresses MAC, ton AP ne le fait pas ?
Saches qu'ensuite, si tu ne peux gérer d'interface blue, il te reste :
. à la main en mode console : iptables
. en graphique : BlockOutTrafic

A+

[supersosso]

je fonctionne avec ipcop 1.48...
je ne vois pas de "blow out trafic"...

je précise, je suis nulle en unix....

Ca se trouve où?
merci

[Gandalf]

je ne vois pas de "blow out trafic"...

C'est Block Out Traffic, un add on qui s'installe séparément at qui te permet comme le conseille jdh de bloquer les flux du lan vers le wan !

je précise, je suis nulle en unix....

Ben il faut faire des efforts alors

@ +

[supersosso]

on va chercher à installer ça alors.....

et puis d'abords Unix c'est dur !



merci des conseils... je vais m'y atteler

[Gandalf]

et puis d'abords Unix c'est dur !

Non c'est différent ! Si Microsoft ne nous avait pas habitué à de tels environnements on trouverait Linux naturel et facile ! Quand on fait l'effort de se départir de ses habitudes crosoftiennes ( que je suis le 1er à avoir ! ), ce n'est pas compliqué !
Alors courage, et fais des recherches dans ce forum pour installer BOT !