Reverse Proxy pour Exchange et OWA

[Koj]

Bonsoir,

J'ai cherché sur le forum une bonne heure et je n'ai pas vraiment trouvé les infos donc j'en profite pour partager ma question a notre belle communauté :

Comment installer IPCOP pour faire du reverse proxy mail/https avec Exchange 2003 ce qui revient clairement à concurrencer ISA 2004 ?


[ internet ]
|
|
IPCOP ----- 192.168.45.1 = Passerelle smtp&AntiV + 192.168.45.2 = Exchange virtuel avec IIS TCP 443 et Exchange SMTP 25
|
|
[ LAN ]
|
Exchange 2003
IIS OWA TCP 443 SSL
SMTP 25


J'ai oui dire qu'un plug-in pourrait le faire : serveur Linux/Apache avec mod_proxy.
Honnetement je suis un ancien utilisateur d'ipcop 1.3 donc je n'ai pas vu les évolutions et je n'ai pas vu sur le site officiel d'info dans les news sur la 1.4.10 concernant le reverse proxy. Y a t il une section prévu dans le manuel pour cela ? Connaisseriez vous cet add-on (ou un autre) ? Est ce un add-on "déconseillé" ? etc...

Joyeux Noël

Koj

[Koj]

Un petit UP

Koj

[Koj]

J'ai trouvé ca (with my friend google) :

Using Apache 2 with Outlook Web Access (OWA)
http://www.wlug.org.nz/ApacheReverseProxy

Y aurait il quelqu'un qui saurait me dire s'il y a déjà une équipe sur l'intégration de mod_proxy avec IPCOP ...?

Koj

[Koj]

Personne n'utilise IPCOP pour du reverse proxy ??

Koj

[Franck78]

Non!
Mais si tu détailles un peu ce que tu attends, on pourra peut être faire quelquechose.

IPcop, c'est d'abord un aiguillage. Pas vraiment de proxy à bord sauf le http qui est quand même un grand classique.
Le Apache, il sert uniquement pour l'interface graphique.



Bye

[Koj]

Salut Franck,

ISA 2004 propose une fonctionnalité (parmis un grand nombre, dont la decapsulation / detection d'intrusion / recapsulation SSL et le service de Quarantaine ) forte interessante pour faire disparaitre completement de la DMZ un serveur et ne laisse qu'un service sur une IP virtuelle et un port virtuelle. Ainsi les scan port et attaque des crackers qui serait deja dans la DMZ sont très limité. Le serveur est en faite dans le LAN et le Firewall s'occupe du traffic Internet=>DMZ. Tu vas me dire, on aurait pu faire "un forward de port dans le LAN !" Ben non car le ISA il check non seulement les entetes mimes mais aussi les verbes (autorisé pour tel ou tel requete dans SMTP par exemple EHLO + requette) et si tu fait un telnet 25 dans la DMZ ben ca repond (ipcop lui il forwarde de RED vers green donc personne repond dans ORANGE), du coup SQL et SMTP sont la mais y a personne dans ORANGE.

http://www.microsoft.com/france/events/ ... geNumber=9
prendre : Protéger Exchange Server avec ISA Server 2004 (webcast Sécurité, niveau 300)

Bon bref, moi je voudrais avoir ce type de configuration sur un IPCOP. (je reve peut etre)

Koj

[Koj]

Je viens de voir qu'on peut creer des signatures genre "check, dans le header de la chaine GET, la chaine de caractere user-agent, et si c'est la string firefox, ben tu envoie boulet le navigateur"... (Firebox affiche mal le Outlook Web Access, donc si on veut pas 100 000 appels au Help Desk, on jarte Firefox : c'est un exemple hein !!!)

Koj

[Franck78]

J'ai du mal a voir ce que tu cherches. En tout cas je ne me taperais pas 35 minutes de ISA server pour voir ce qu'il apporte.

J'ai bien mon serveur web qui tourne sur l'IPCop depuis 2 ans. Alors 'rajouter' quelques autres fonctions est possible (si elles existent avec apache 1.3).

Essaie de cerner ce qu'il te faut.

bye

[Koj]

J'ai cerné depuis le premier post ce que je veux : le reverse proxy. Tout est expliqué avec le schemas du premier post, suffit de lire quoi
C'est nouveau et pas facile a imaginer, donc je comprends que tu sois un peu débousollé. J'ai bien mis 1 mois a comprendre en recherchant partout.

Koj

nb : il faut rester borner sur ipcop, chaque année ya des avancées techniques et Ipcop n'évoluer pas forcément aussi vite que les sociétés privées. exemple : snort a été racheté et sera surement intégré dans un de leur produit.

[Franck78]

C'est pour ca que je ne peux pas passer aussi un mois à comprendre ce que IPCop doit fournir pour remplacer ISA server.

Je ne pense pas que la fonction reverse proxy soit obligatoire. Donc sans elle tu devrais déjà avoir ton schéma 'fonctionnel' non?

Puis pour ajouter du reverse proxy avec Apache, cela devient un autre problème non?
As-tu commencé par vérifier qu'il existe sous Apache 1.3 le module?

[Koj]

J'ai trouvé ca (with my friend google) :

Using Apache 2 with Outlook Web Access (OWA)
http://www.wlug.org.nz/ApacheReverseProxy

Y aurait il quelqu'un qui saurait me dire s'il y a déjà une équipe sur l'intégration de mod_proxy avec IPCOP ...?

Koj

T'es pas bien réveiller je pense.

Proxying with Apache

The standard Apache module mod_proxy supports both types of proxy operation. Under Apache 1.x, mod_proxy only supported HTTP/1.0, but from Apache 2.0, it supports HTTP/1.1. This distinction is particularly important in a proxy, because one of the most significant changes between the two protocol versions is that HTTP/1.1 introduces rich new cache control mechanisms

source : http://www.apacheweek.com/features/reverseproxies

Et pour éclairer ta lenterne :

A Reverse Proxy Scenario
Company example.com has a website at www.example.com, which has a public IP address and DNS entry can be accessed from anywhere on the Internet.

The company also has a couple of application servers which have private IP addresses and unregistered DNS entries, and are inside the firewall. The application servers are visible within the network - including the webserver, as "internal1.example.com" and "internal2.example.com", But because they have no public DNS entries, anyone looking at internal1.example.com from outside the company network will get a "no such host" error.

A decision is taken to enable Web access to the application servers. But they should not be exposed to the Internet directly, instead they should be integrated with the webserver, so that http://www.example.com/app1/any-path-here is mapped internally to http://internal1.example.com/any-path-here and http://www.example.com/app2/other-path-here is mapped internally to http://internal2.example.com/other-path-here. This is a typical reverse-proxy situation.

Mon probleme c'estpas d'instal mod_proxy sur apach 1.3. C'est de comprendre les imbrication avec IPCOP. Genre si je met mod_proxy, est ce que squid va pas me casser les pieds ? Est qu'il y a d'autres choses à prevoir ? Et vu que la doc que j'ai date de plus d'un an, y a t il deja un projet de modification d'ipcop ?

Koj

[Franck78]

La réponse est d'une simplicité biblique: apache ne sert à IPCop QUE pour l'interface d'administration. Qu'est-ce à dire ?
Simplement qu'il n'y a pas d'équipe qui travaille sur l'intégration de quoi que ce soit à propos d'Apache. On a déjà assez à faire avec les éléments firewall manquants (drivers wifi par exemple, plusieurs cartes réseau,...).

Ce qui veut aussi dire ? pour tout les services annexes, "aide toi et d... t'aidera" ou trouve un addon qui le fait.

Pas d'interaction avec squid à priori.

L'iso 1.4 intègre une doc en anglais et en français. Mais tu seras plus intéressé par le cvs IPCop si tu te lances dans l'écriture d'un addon.

[Koj]

A ben voilà ! C'est tout ce que je demandais comme réponse

Merci beaucoup,

Koj
nb : Merci et bonne continuation, c'est une super distrib ipcop, j'en suis super content chez moi et les asso et PME ou je l'ai mis.