Bonjour à tous,
Je suis débutant et je désir mettre en place un IPCOP dans mon installation.
Je voudrais savoir s'il est possible de relié l'IPCOP et ma freebox en wifi sur le réseaux Red.
Je vais installer l'IPCOP avec un réseau Green et un réseau Red, est-il possible de relier mes PC et l'IPCOP en WIFI sur le réseau vert?
Est-ce que l'un d'entre vous a une idée,qu'elle est le matériel wifi comptatible avec IPCOP?
Dernière question du moment, en plus des fonctions firewall, existe-il un anti virus intégré à IPCOP?
ou Faut-il en ajouter un? si oui lequel?
Merci pour votre aide.
IPCOP ET LES RESEAUX WIFI
Modérateur: modos Ixus
18 messages
• Page 1 sur 2 • 1, 2
par micjack » 28 Fév 2006 15:03
Même si en effet la recherche te donnera une réponse comme le souligne Jdh.. Mais j'aimerais donner un avis, car il y'a quelques truc que je ne pige pas avec la Freebox..
Par contre il y'a un truc de certain, c'est que tu ne poura pas bénéficier de la protection d'IPCop pour ton Wifi, puisque la FreeBox est en amont de l'IPCop..
C'est une question pas trop posée sur "que va devenir le Wifi sur la FB ..
D'aprés ce que j'ai pu lire, la freeBox doit etre en mod bridge pour fonctionner sur IPCop, et de ce fait, tu pert le Wifi (puisque pour activer le Wifi, il faut que ta FB soit en mode routeur, ca par contre, c'est certain)
Jusque la, on est tous d'accord, mais...
J'ai quand même un doute que la Freebox doit etre obligatoirement en mode Bridge pour fonctionner sur IPCop.
En eftet, l'autentification d'un abonné à Free est faite par la FB, je ne vois pas en quoi le mode routeur ne fonctionnerait pas sur IPCop, puisque il suffit de metre la FB en ethernet et forcer la carte reseau en IP fixe, pas en DHCP (attention, j'ai jamais testé, c'est juste une question de logique). De plus, elle a la particularité d'etre configurable par le Net.
Pour ta solution, soit le mode bridge n'est pas nécéssaire, et la tu benéficie de ton Wifi, mais ne serra pas protégé par IPCop.. Seul le réseau Green le serra.
Soit le mode brige est nécéssaire, et la tu pert ton Wifi et te restera à metre un AP sur la patte Bleue.
Voila, c'est juste l'histoire du mode bridge ou en mode routeur qui me turlupine
Par contre il y'a un truc de certain, c'est que tu ne poura pas bénéficier de la protection d'IPCop pour ton Wifi, puisque la FreeBox est en amont de l'IPCop..
C'est une question pas trop posée sur "que va devenir le Wifi sur la FB ..
D'aprés ce que j'ai pu lire, la freeBox doit etre en mod bridge pour fonctionner sur IPCop, et de ce fait, tu pert le Wifi (puisque pour activer le Wifi, il faut que ta FB soit en mode routeur, ca par contre, c'est certain)
Jusque la, on est tous d'accord, mais...
J'ai quand même un doute que la Freebox doit etre obligatoirement en mode Bridge pour fonctionner sur IPCop.
En eftet, l'autentification d'un abonné à Free est faite par la FB, je ne vois pas en quoi le mode routeur ne fonctionnerait pas sur IPCop, puisque il suffit de metre la FB en ethernet et forcer la carte reseau en IP fixe, pas en DHCP (attention, j'ai jamais testé, c'est juste une question de logique). De plus, elle a la particularité d'etre configurable par le Net.
Pour ta solution, soit le mode bridge n'est pas nécéssaire, et la tu benéficie de ton Wifi, mais ne serra pas protégé par IPCop.. Seul le réseau Green le serra.
Soit le mode brige est nécéssaire, et la tu pert ton Wifi et te restera à metre un AP sur la patte Bleue.
Voila, c'est juste l'histoire du mode bridge ou en mode routeur qui me turlupine
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
oui
par olivier33 » 28 Fév 2006 15:41
Tu peux mettre ta freebox en mode routé et de cette maniere depuis sa derniere mise a jour il est possible d'affecté une addresse ip en correlation avec son adresse mac de se fait t'a la possiblitée mettre ton addresse mac de ta carte réseau sous IPCOP "interface red" .
en cequi concerne de faire fonctionner ton wifi de ta freebox "tu peux mais pas souhaité " !!!!!
A bon usage ,à bon entendeur ...
en cequi concerne de faire fonctionner ton wifi de ta freebox "tu peux mais pas souhaité " !!!!!
A bon usage ,à bon entendeur ...
oliver
Ipcop 1.4.16/livebox pro/zerina/urlfilter/blockout
/red+vert+bleu+orange/
Ipcop 1.4.16/livebox pro/zerina/urlfilter/blockout
/red+vert+bleu+orange/
- olivier33
- Second Maître
- Messages: 37
- Inscrit le: 23 Fév 2006 12:16
par phaby » 28 Fév 2006 16:44
D'aprés ce que j'ai pu lire, la freeBox doit etre en mod bridge pour fonctionner sur IPCop,
Je ne pense pas que ce soit obligatoire mais juste plus logique.
Si tu mets ta Fb en mode routeur, tu peux mettre un IPcop derriere en ethernet avec une ip locale fixe mais dans ce cas tu auras un double NAT (FB/routeur + Ipcop routeur/firewall).
Quand par exemple tu voudras rediriger un port il faudra le faire sur la FB ET sur Ipcop....
Apres pour la question de RED en wifi, pourquoi pas mais tu auras le cas cité ci-dessus.
-
phaby - Lieutenant de vaisseau
- Messages: 188
- Inscrit le: 04 Nov 2003 01:00
- Localisation: Pas tres loin
par jdh » 28 Fév 2006 20:53
Bon allez un petit effort ...
Livrons quelques éléments de réflexions :
* La Freebox peut être équipé d'une carte Wifi (format pcmcia, origine Free). Celle-ci impose le fonctionnement en "mode routeur" de la Freebox.
* La carte Wifi de la Freebox peut fonctionner en tant qu'"access-point" (plusieurs PC) ou en "ad-hoc" (1 seul PC).
* La liaison Wifi peut être crypté avec le protocole WEP (à proscrire) ou le protocole WPA (à choisir).
* Les cartes Wifi supportées par IPCOP ne sont pas légion ! (le mot est faible !!)
La bonne config est d'utiliser un schéma tel que :
Internet (Free) <--> Freebox <--> IPCOP (firewall) <--> Réseau Filaire + Réseau Sans-fil
Si on souhaite mettre en oeuvre un firewall tel qu'IPCOP, il est clair qu'il ne faut pas utiliser la "facilité" de la carte Wifi d'une Freebox. Il est sage d'utiliser un access-point (ou un routeur) en deça de l'IPCOP avec ou non une carte ethernet dédié "Sans-fil".
La différence de coût ne semble pas très importante : 27€ pour la carte Wifi de Free contre moins de 70€ pour un routeur 54g de base.
La sécurité accessible avec un schéma tel que celui-là me parait indiscutable. Où plutôt la carte Wifi dans une Freebox me parait incompatible avec un tant soit peu de filtrage sérieux. (Bien sur, il faut filtrer le traffic en sortie de Green vers Red, ce que ne fait pas par défaut IPCOP, ce qui ne m'a jamais plu !).
AMHA, pour l'amateur averti en terme de sécurité, le seul intéret des possibilités Wifi d'un modem de fournisseur (Free ou autre) ne résideraient que dans un lien "ad-hoc" crypté coté Red des seuls faits que l'IPCOP (ou autre firewall) ne peut être placé près du modem et de l'impossibilité de passer un câble (percage interdit en location !). C'est dire si l'intéret est faible !!
Livrons quelques éléments de réflexions :
* La Freebox peut être équipé d'une carte Wifi (format pcmcia, origine Free). Celle-ci impose le fonctionnement en "mode routeur" de la Freebox.
* La carte Wifi de la Freebox peut fonctionner en tant qu'"access-point" (plusieurs PC) ou en "ad-hoc" (1 seul PC).
* La liaison Wifi peut être crypté avec le protocole WEP (à proscrire) ou le protocole WPA (à choisir).
* Les cartes Wifi supportées par IPCOP ne sont pas légion ! (le mot est faible !!)
La bonne config est d'utiliser un schéma tel que :
Internet (Free) <--> Freebox <--> IPCOP (firewall) <--> Réseau Filaire + Réseau Sans-fil
Si on souhaite mettre en oeuvre un firewall tel qu'IPCOP, il est clair qu'il ne faut pas utiliser la "facilité" de la carte Wifi d'une Freebox. Il est sage d'utiliser un access-point (ou un routeur) en deça de l'IPCOP avec ou non une carte ethernet dédié "Sans-fil".
La différence de coût ne semble pas très importante : 27€ pour la carte Wifi de Free contre moins de 70€ pour un routeur 54g de base.
La sécurité accessible avec un schéma tel que celui-là me parait indiscutable. Où plutôt la carte Wifi dans une Freebox me parait incompatible avec un tant soit peu de filtrage sérieux. (Bien sur, il faut filtrer le traffic en sortie de Green vers Red, ce que ne fait pas par défaut IPCOP, ce qui ne m'a jamais plu !).
AMHA, pour l'amateur averti en terme de sécurité, le seul intéret des possibilités Wifi d'un modem de fournisseur (Free ou autre) ne résideraient que dans un lien "ad-hoc" crypté coté Red des seuls faits que l'IPCOP (ou autre firewall) ne peut être placé près du modem et de l'impossibilité de passer un câble (percage interdit en location !). C'est dire si l'intéret est faible !!
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par micjack » 28 Fév 2006 22:16
Du coup, je ne pense pas avoir croisé un seul topic aussi complet concernant la Freebox Wifi + IPCop.
Depuis mon post, on est tous en train de dire la même chose, mais qui éclaircira forcement notre ami et d'autre personnes (Quoi que, le contexte concerne aussi bien la Freebox que tout autre routeur ou Box)
Je suis d'accord avec toi, mais c'est pas trop ce qu'il me semble avoir lu, ni pour une logique.. D'ou ma réaction de ne pas comprendre que la FB ne puisse pas etre en mode routeur sur IPCop et que la patte Red devait etre obligatoirement en DHCP. En gros, il me seblait d'aprés les posts que la FB était un cas particulier sur IPCop.
Concernant que c'est logique pour un double NAT je suis tout à fais d'accod.. Pour le réseau Wifi qui n'est pas protégé par IPCop aussi.
Si non, dans l'ensemble, on ne parle pas de ceux qui n'ont pas de transfert de port à faire, ni du réseau Wifi qui peut etre utilisé uniquement en navigation Web et ne pas avoir de données sensibles dessus (C'est une question de praticité)
C'est le cas avec ma Triway qui est en mode routeur, incluant trois réseaux differants, Lan , USB et Wifi et bien sûr sans DHCP et l'USB bani...
Mon Lan est obligatoirement en filaire derrire mon firewall maison RH9 qui est racordé à son tour en filaire à ma box (Wifi actif )
Le cas se prete aussi bien à la Freebox qu'a n'importe routeur/adsl.... Soit on protége un réseau complet Lan + Wifi et la c'est un choix on désactive le routeur et on achete un AP.
Soit on laisse le routeur et la on fait une utilisation selective des postes devant se connecter en Wifi (Par exemple chez moi, un portable et mon fils qui joue avec sa Nitendo DS par le Net) ..
De toute facon, le danger d'etre en Wifi concerne avant tout le voisinage et non pas parce qu'il n'est pas protégé par un firewall (Quoi que, sur la Triway CT-633 y a déja un firewall, faut l'activer ) si non, la vente de routeurs Wifi serrait un danger d'utilisation via le Net, donc aucune logique de commercialisation.
Tout ca pour dire que dans certains cas, qu'il n'est pas obligé de coller son Wifi derrire un firewall puisque le danger se trouve avant tout dans les aires.. Le Wifi reste un réseau normal derrire un routeur adsl ou firewall ..
Depuis mon post, on est tous en train de dire la même chose, mais qui éclaircira forcement notre ami et d'autre personnes (Quoi que, le contexte concerne aussi bien la Freebox que tout autre routeur ou Box)
phaby a écrit:micjack a écrit:D'aprés ce que j'ai pu lire, la freeBox doit etre en mod bridge pour fonctionner sur IPCop,
Je ne pense pas que ce soit obligatoire mais juste plus logique
Je suis d'accord avec toi, mais c'est pas trop ce qu'il me semble avoir lu, ni pour une logique.. D'ou ma réaction de ne pas comprendre que la FB ne puisse pas etre en mode routeur sur IPCop et que la patte Red devait etre obligatoirement en DHCP. En gros, il me seblait d'aprés les posts que la FB était un cas particulier sur IPCop.
Concernant que c'est logique pour un double NAT je suis tout à fais d'accod.. Pour le réseau Wifi qui n'est pas protégé par IPCop aussi.
Si non, dans l'ensemble, on ne parle pas de ceux qui n'ont pas de transfert de port à faire, ni du réseau Wifi qui peut etre utilisé uniquement en navigation Web et ne pas avoir de données sensibles dessus (C'est une question de praticité)
C'est le cas avec ma Triway qui est en mode routeur, incluant trois réseaux differants, Lan , USB et Wifi et bien sûr sans DHCP et l'USB bani...
Mon Lan est obligatoirement en filaire derrire mon firewall maison RH9 qui est racordé à son tour en filaire à ma box (Wifi actif )
Le cas se prete aussi bien à la Freebox qu'a n'importe routeur/adsl.... Soit on protége un réseau complet Lan + Wifi et la c'est un choix on désactive le routeur et on achete un AP.
Soit on laisse le routeur et la on fait une utilisation selective des postes devant se connecter en Wifi (Par exemple chez moi, un portable et mon fils qui joue avec sa Nitendo DS par le Net) ..
De toute facon, le danger d'etre en Wifi concerne avant tout le voisinage et non pas parce qu'il n'est pas protégé par un firewall (Quoi que, sur la Triway CT-633 y a déja un firewall, faut l'activer ) si non, la vente de routeurs Wifi serrait un danger d'utilisation via le Net, donc aucune logique de commercialisation.
Tout ca pour dire que dans certains cas, qu'il n'est pas obligé de coller son Wifi derrire un firewall puisque le danger se trouve avant tout dans les aires.. Le Wifi reste un réseau normal derrire un routeur adsl ou firewall ..
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
par Gandalf » 01 Mars 2006 11:36
Salut tout le monde, je m'imisce 2 secondes dans ce post pour donner mon avis ( il est ce qu'il est 
) sur les réseaux sans fil ! L'architecture d'un tel réseau pour moi ne peut être que sur une zone dédiée hermétiquement fermée aux autres :
WWW-----BOX------FW------Zone Wifi avec AP !
Avec cette archi il est possible d'aller dans les 2 sens du sans fil, à savoir le tout open ou le tout secure ! Je m'explique : j'envisage le wifi sous 2 angles, soit on transforme sa borne wifi en hot spot ( ce que j'encourage de plus en plus pour pouvoir établir un réseau libre ), soit on blinde le tout car le sans fil doit être dédié à un certains types de connexions ( commerciaux .... ).
Dans le 1er cas ( j'entend déjà les autres hurler ! ), hormis l'utilisation frauduleuse que peuvent en faire certains, la connexion est séparée du LAN dons pas de soucis ! A moi d'établir un proxy avec une charte de bonne conduite à accepter pour passer le point d'accès et tracer les adresses MAC ( par exemple ! ) ! C'est une philosophie, c'est tout !
Dans le 2ème cas, mettre en place le WPA + un serveur RADIUS ( dans cette zone ou dans une autre ) avec identification des utilisateurs !
Voilà, tous les autres bons conseils des amis jdh et micjack restent bien sur à respecter !
) sur les réseaux sans fil ! L'architecture d'un tel réseau pour moi ne peut être que sur une zone dédiée hermétiquement fermée aux autres :
WWW-----BOX------FW------Zone Wifi avec AP !
Avec cette archi il est possible d'aller dans les 2 sens du sans fil, à savoir le tout open ou le tout secure ! Je m'explique : j'envisage le wifi sous 2 angles, soit on transforme sa borne wifi en hot spot ( ce que j'encourage de plus en plus pour pouvoir établir un réseau libre ), soit on blinde le tout car le sans fil doit être dédié à un certains types de connexions ( commerciaux .... ).
Dans le 1er cas ( j'entend déjà les autres hurler ! ), hormis l'utilisation frauduleuse que peuvent en faire certains, la connexion est séparée du LAN dons pas de soucis ! A moi d'établir un proxy avec une charte de bonne conduite à accepter pour passer le point d'accès et tracer les adresses MAC ( par exemple ! ) ! C'est une philosophie, c'est tout !
Dans le 2ème cas, mettre en place le WPA + un serveur RADIUS ( dans cette zone ou dans une autre ) avec identification des utilisateurs !
Voilà, tous les autres bons conseils des amis jdh et micjack restent bien sur à respecter !
/G.
-
Gandalf - Amiral
- Messages: 1980
- Inscrit le: 22 Août 2002 00:00
- Localisation: Strasbourg
par micjack » 01 Mars 2006 13:24
Salut à tous, allé moi aussi vite fait,
Il est certain que l'on a pas trop parlé du cryptage, filtrage MAC, Radius, etc...
Par contre, je garantis que sur une Box les réseaux son séparés de plus si tu as un Firewall sur ton Lan.
BOX (Red 192.168.1.x) <-----> Firewall <-----> Lan (192.168.3.x)
|
|--> Wifi MAC + WEP 192.168.2.x ~~~
Dans ce contexte le Wifi est separé du Lan, et ne peut se retrouvé dessus... Et par defaut de la conf d'un Firewall, il ne peut le passer (mais c'est possible avec les régles qui vont bien). Le Wifi se retrouve au même grade que le Wan.
La plus part des Box ont un filtrage MAC, faut activé un bouton ou par l'interface d'administration un délais d'association. Par contre elles ont souvant que du WEP à proposer, mais bon, un filtrage MAC + Wep c'est déja ca.
Du temps ou j'avais un simple modem adsl, j'ai pourtant compilé de quoi avoir le Wifi sur mon Firewall (il y'a un topic sur Ixus) donc patte Verte et Bleue qui fonctionne à merveille (le reve des IPCopien)
Mais depuis que j'ai eu ma Box Wifi gratos de chez Alice, je n'ai trouvé aucune objection de virer le dongle Wifi du Firewall.. C'est juste une question pratique, puisque j'éteint mon firewall n'utilisant plus mon Lan, cela n'empeche pas le reste de la maison d'avoir le Wifi sur leur poste..
Je pense que c'est une question d'architechture sécurisée ou pas et/ou de praticité. Je pense simplement qu'une borne Wifi qu'elle soit sur une Box ou deriere un Firewall, cela ne l'empechera pas de rayonner. Rien empeche par contre de demander au Wifi une authentification sur le Firewall..
Enfin, y'a plein de truc à faire pour sécuriser, de plus si on a un poste Linux modulable dans les parages.
Mais apres si on entre dans le cryptage, l'authentification, puis l'AP non visible, aucun DHCP, etc... y'a effectivement du bon rajouter.
Il est certain que l'on a pas trop parlé du cryptage, filtrage MAC, Radius, etc...
Par contre, je garantis que sur une Box les réseaux son séparés de plus si tu as un Firewall sur ton Lan.
BOX (Red 192.168.1.x) <-----> Firewall <-----> Lan (192.168.3.x)
|
|--> Wifi MAC + WEP 192.168.2.x ~~~
Dans ce contexte le Wifi est separé du Lan, et ne peut se retrouvé dessus... Et par defaut de la conf d'un Firewall, il ne peut le passer (mais c'est possible avec les régles qui vont bien). Le Wifi se retrouve au même grade que le Wan.
La plus part des Box ont un filtrage MAC, faut activé un bouton ou par l'interface d'administration un délais d'association. Par contre elles ont souvant que du WEP à proposer, mais bon, un filtrage MAC + Wep c'est déja ca.
Du temps ou j'avais un simple modem adsl, j'ai pourtant compilé de quoi avoir le Wifi sur mon Firewall (il y'a un topic sur Ixus) donc patte Verte et Bleue qui fonctionne à merveille (le reve des IPCopien)
Mais depuis que j'ai eu ma Box Wifi gratos de chez Alice, je n'ai trouvé aucune objection de virer le dongle Wifi du Firewall.. C'est juste une question pratique, puisque j'éteint mon firewall n'utilisant plus mon Lan, cela n'empeche pas le reste de la maison d'avoir le Wifi sur leur poste..
Je pense que c'est une question d'architechture sécurisée ou pas et/ou de praticité. Je pense simplement qu'une borne Wifi qu'elle soit sur une Box ou deriere un Firewall, cela ne l'empechera pas de rayonner. Rien empeche par contre de demander au Wifi une authentification sur le Firewall..
Enfin, y'a plein de truc à faire pour sécuriser, de plus si on a un poste Linux modulable dans les parages.
Mais apres si on entre dans le cryptage, l'authentification, puis l'AP non visible, aucun DHCP, etc... y'a effectivement du bon rajouter.
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
Petit rajout
par kwa29200 » 01 Mars 2006 14:31
Bonjour à tous,
Je me permet de m'immiscer dans la conversation car je suis en train de monter le même type d'archi.
Et donc evidemment je me pose plein de questions existencielles. Commencons par ma config :
Actuel : Freebox (routeur + carte wifi) >> Switch >> 1 serveur et 3 PC.
Futur : Freebox (routeur + carte wifi) >> Ipcop (Red+Green)>> Switch >> 1 serveur et 3 PC.
Ce que je souhaite avoir :
- laisser la freebox en routeur pour le wifi (je saias pas secu mais c pas grave pour le wifi)
- ne plus avoir a redemarré la free quand j'ouvre ou ferme des ports
- maitriser/vérifier les traffic sur mon petit LAN (le WAN étant hors ipcop)
- si plus de connec freebox avoir tj du DHCP et DNS interne (lecteur partagé, etc etc,...) et donc un LAN en état de marche
- et en premier lieu protéger mes 2 machines Windows (le reste c du linux donc ne crains rien)
Voila comment je vois les choses :
- freebox en mode routeur avec ouverture d'une plage de port (0-70000) afin de plus rien faire dessus.
- ipcop en GREEN+RED avec ipfixe sur la RED (dans mon cas disons 192.168.0.5)
- les workstations sont en ip fixe ou dhcp avec comme passerelle l'ip ipcop
- le wifi tj possible à plusieurs mais pas sécurisé
- si ipcop tombe plus de connection mais je prend le risque
Pouvez vous me dire si je suis complétement deconnant et si il ya un réel intéret a faire ça ??
Je me permet de m'immiscer dans la conversation car je suis en train de monter le même type d'archi.
Et donc evidemment je me pose plein de questions existencielles. Commencons par ma config :
Actuel : Freebox (routeur + carte wifi) >> Switch >> 1 serveur et 3 PC.
Futur : Freebox (routeur + carte wifi) >> Ipcop (Red+Green)>> Switch >> 1 serveur et 3 PC.
Ce que je souhaite avoir :
- laisser la freebox en routeur pour le wifi (je saias pas secu mais c pas grave pour le wifi)
- ne plus avoir a redemarré la free quand j'ouvre ou ferme des ports
- maitriser/vérifier les traffic sur mon petit LAN (le WAN étant hors ipcop)
- si plus de connec freebox avoir tj du DHCP et DNS interne (lecteur partagé, etc etc,...) et donc un LAN en état de marche
- et en premier lieu protéger mes 2 machines Windows (le reste c du linux donc ne crains rien)
Voila comment je vois les choses :
- freebox en mode routeur avec ouverture d'une plage de port (0-70000) afin de plus rien faire dessus.
- ipcop en GREEN+RED avec ipfixe sur la RED (dans mon cas disons 192.168.0.5)
- les workstations sont en ip fixe ou dhcp avec comme passerelle l'ip ipcop
- le wifi tj possible à plusieurs mais pas sécurisé
- si ipcop tombe plus de connection mais je prend le risque
Pouvez vous me dire si je suis complétement deconnant et si il ya un réel intéret a faire ça ??
- kwa29200
- Second Maître
- Messages: 41
- Inscrit le: 07 Juil 2005 18:47
par jdh » 01 Mars 2006 14:44
Y a des choses "déconnantes" :
- port 0-70000 : de 1 à 65535 sera suffisant ! (n° de port codé sur 2 octets = max 65535)
- je veux filter derriere IPCOP <-> le wifi c'est pas sécure, mais c'est pas grave : contradiction.
Inévitablement un jour tu voudras que les PC Wifi accèdent aux PC en zone Green. Et là il faudra espérer que cela sera possible de paramétrer IPCOP pour autoriser ce traffic précis (sans que cela soit aussi accessbile à partir d'Internet !).
Ce que je ne comprends pas, c'est que, si on pense qu'il est intéressant de mettre en place un firewall tel qu'IPCOP, pourquoi on accepterait de laisser une partie du réseau (la partie Wifi) sans le même filtrage que l'autre (la partie filaire) ?
La fonction Wifi est destinée à ceux qui raisonnent sans firewall dédié (IPCOP ou autre) AMHA.
- port 0-70000 : de 1 à 65535 sera suffisant ! (n° de port codé sur 2 octets = max 65535)
- je veux filter derriere IPCOP <-> le wifi c'est pas sécure, mais c'est pas grave : contradiction.
Inévitablement un jour tu voudras que les PC Wifi accèdent aux PC en zone Green. Et là il faudra espérer que cela sera possible de paramétrer IPCOP pour autoriser ce traffic précis (sans que cela soit aussi accessbile à partir d'Internet !).
Ce que je ne comprends pas, c'est que, si on pense qu'il est intéressant de mettre en place un firewall tel qu'IPCOP, pourquoi on accepterait de laisser une partie du réseau (la partie Wifi) sans le même filtrage que l'autre (la partie filaire) ?
La fonction Wifi est destinée à ceux qui raisonnent sans firewall dédié (IPCOP ou autre) AMHA.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
En effet
par kwa29200 » 01 Mars 2006 14:55
- Pour les ports oui en effet (lenvie daller trop vite) tu as bien fais de me reprendre.
- pour le wifi je peu me permetter de mettre un AP (g un linksys) docn pourquoi pas le faire.
Cela serait donc RED/BLUE/GREEN.
Je retire la carte wifi de la box et je met à la place sur l'ipcop le linksys (il faut par contre que jachete une 3eme carte rezo)
Je me trompe ??
- pour le wifi je peu me permetter de mettre un AP (g un linksys) docn pourquoi pas le faire.
Cela serait donc RED/BLUE/GREEN.
Je retire la carte wifi de la box et je met à la place sur l'ipcop le linksys (il faut par contre que jachete une 3eme carte rezo)
Je me trompe ??
- kwa29200
- Second Maître
- Messages: 41
- Inscrit le: 07 Juil 2005 18:47
par micjack » 01 Mars 2006 15:07
Non tu ne te trompe pas, mais n'oublie pas de desactiver le mode routeur sur ta Box (tu va sur le site de Free pour ca)
Il faut vraiment configurer le Firewall avec les pieds pour se retrouver dans un cas pareil
Je suis tout à fais d'accord avec toi, mais si on prend mon archi (puisque je pense que ton avis concene celui -ci) la plus part des Box font aussi Firewall (Déja par l'obligation de faire du transfert de port si besoin)... J'ai déja testé l'éficacité en installant un Windows XP tout neuf sur un poste en Wifi (Win XP 1 ere mouture, sans SP et donc sans patch concernant les port 139, 445 ) j'ai été pennard...
Mois je raisonne que le danger du Wifi réside par une mauvaise configuration interne concernant le cryptage et filtrage MAC, mais vois pas trop le rapport avec internet si on a déja une box qui fait firewall (comme la plus part des box d'ailleur) J'ai fais aussi des tests des scan de port sur la Box, il sont tous en 'filtered" contrairement à un simple modem (ou bridged) qui annonce "closed".
Mais bon, je déroute peut etre le topic, puisque je ne parle pas de la FreeBox et ne sais pas ce qu'elle vaut en matiere de filtrage.. Et en effet, si elle ne fait pas de firewaling, il faut absolument un AP sur Bleue (Ou autre faisant office de Blue)
Par contre kwa29200, je ne compred pas pourquoi tu veux faire un transfert de post de cette ampleur..Puisque de toute facon les connexions sont initié de l'interieur de 1024-65535, tu recevra automatiquement une reponse sur ton Green (enfin, si j'ai bien compris ce que tu veux faire)
Le transfert doit se faire uniquement su tu as un serveur sur ton Green ..
jdh a écrit:Inévitablement un jour tu voudras que les PC Wifi accèdent aux PC en zone Green...... (sans que cela soit aussi accessbile à partir d'Internet !).
Il faut vraiment configurer le Firewall avec les pieds pour se retrouver dans un cas pareil
Ce que je ne comprends pas, c'est que, si on pense qu'il est intéressant de mettre en place un firewall tel qu'IPCOP, pourquoi on accepterait de laisser une partie du réseau (la partie Wifi) sans le même filtrage que l'autre (la partie filaire) ?
Je suis tout à fais d'accord avec toi, mais si on prend mon archi (puisque je pense que ton avis concene celui -ci) la plus part des Box font aussi Firewall (Déja par l'obligation de faire du transfert de port si besoin)... J'ai déja testé l'éficacité en installant un Windows XP tout neuf sur un poste en Wifi (Win XP 1 ere mouture, sans SP et donc sans patch concernant les port 139, 445 ) j'ai été pennard...
La fonction Wifi est destinée à ceux qui raisonnent sans firewall dédié (IPCOP ou autre) AMHA.
Mois je raisonne que le danger du Wifi réside par une mauvaise configuration interne concernant le cryptage et filtrage MAC, mais vois pas trop le rapport avec internet si on a déja une box qui fait firewall (comme la plus part des box d'ailleur) J'ai fais aussi des tests des scan de port sur la Box, il sont tous en 'filtered" contrairement à un simple modem (ou bridged) qui annonce "closed".
Mais bon, je déroute peut etre le topic, puisque je ne parle pas de la FreeBox et ne sais pas ce qu'elle vaut en matiere de filtrage.. Et en effet, si elle ne fait pas de firewaling, il faut absolument un AP sur Bleue (Ou autre faisant office de Blue)
Par contre kwa29200, je ne compred pas pourquoi tu veux faire un transfert de post de cette ampleur..Puisque de toute facon les connexions sont initié de l'interieur de 1024-65535, tu recevra automatiquement une reponse sur ton Green (enfin, si j'ai bien compris ce que tu veux faire)
Le transfert doit se faire uniquement su tu as un serveur sur ton Green ..
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
Merci
par kwa29200 » 01 Mars 2006 17:03
Merci pour ta réponse si compléte...
Si j'ai donné une plage de port aussi grande c'est uniquement pour ne plus avoir à changer quoi que ce soit sur le routeur de free.
Et donc plus besoin de redemarrer la box lorsqu'on change un port ou autres...
Peu etre que je me trompe mais si par exemple je n'ouvre pas le port 80 sur free et que je le fais sur l'ipcop. Le port ne sera jamais ouvert.
Tandis que si d'office j'ouvre la plus grande plage possible, j'ouvre le port sur l'ipcop et la plus de question a se poser et le resultat est immédiat en plus.
Voili voila... (en esperant avoir été clair...)
Si j'ai donné une plage de port aussi grande c'est uniquement pour ne plus avoir à changer quoi que ce soit sur le routeur de free.
Et donc plus besoin de redemarrer la box lorsqu'on change un port ou autres...
Peu etre que je me trompe mais si par exemple je n'ouvre pas le port 80 sur free et que je le fais sur l'ipcop. Le port ne sera jamais ouvert.
Tandis que si d'office j'ouvre la plus grande plage possible, j'ouvre le port sur l'ipcop et la plus de question a se poser et le resultat est immédiat en plus.
Voili voila... (en esperant avoir été clair...)
- kwa29200
- Second Maître
- Messages: 41
- Inscrit le: 07 Juil 2005 18:47
par micjack » 01 Mars 2006 17:19
Je ne voit pas pourquoi tu compte ouvrir le port 80, tu comfond un acces au Web sur le port 80 et un acces à ta machine qui ne doit pas etre sur le port 80 mais bien au dessus des 1024... Tu es en train de transformer ton routeur en une passoire...
Tes postes client doivent etre au dessus des ports 1024 pour aller en destination du port 80 (cas d'un site), mais pas l'inverse. Etant donné que IPCop laisse tout sortir vers le net tu n'a rien à faire sur ton routeur ou sur IPCop en entrée, sauf si tu as un "serveur" ..
Si un jour tu observe sur tes postes "port local" en dessous des 1024 ( ici 80 ) à destinantion internet , y'a de quoi te faire du souci si tu n'a pas de serveur, en locurance ici le port 80.
En esperant que moi aussi avoir été claire (si non, il te manque pas mal de lecture)
Une petite explication, alors que cela concerne tout poste connectés en réseau....
Exemple tu te connecte depuis ton réseau sur Ixus ...
IP local port > 1024 ----> IPCop ---> Free 212.x.x.x ---> Ixus port 80
IPCop se dit "tien une requette de 192.168.x.x:1024 vers la FreeBox à destination de 195.140.140.28:80
Le site Ixus se dit "tien j'ai recu une requette venant de l'IP 212.x.x.x : port 1024" je lui envoi ce qu'il m'a demandé.
Pendant ce temps, la Freebox et IPcop ont gardés une trace de ta requette (IP et port source <--> destination ) et attendent un réponse d'Ixus pour la retransmetre en toute confiance sur Green et sans aucune restriction.
Le retour venant du port 80 a été demandée de l'interieur et les routeurs/firewall savent ce qu'ils font, c'est le suivi de connexion.
D'ou l'on peut dire "que seules les connexions initiées aurront une réponse"
Tes postes client doivent etre au dessus des ports 1024 pour aller en destination du port 80 (cas d'un site), mais pas l'inverse. Etant donné que IPCop laisse tout sortir vers le net tu n'a rien à faire sur ton routeur ou sur IPCop en entrée, sauf si tu as un "serveur" ..
Si un jour tu observe sur tes postes "port local" en dessous des 1024 ( ici 80 ) à destinantion internet , y'a de quoi te faire du souci si tu n'a pas de serveur, en locurance ici le port 80.
En esperant que moi aussi avoir été claire (si non, il te manque pas mal de lecture)
Une petite explication, alors que cela concerne tout poste connectés en réseau....
Exemple tu te connecte depuis ton réseau sur Ixus ...
IP local port > 1024 ----> IPCop ---> Free 212.x.x.x ---> Ixus port 80
IPCop se dit "tien une requette de 192.168.x.x:1024 vers la FreeBox à destination de 195.140.140.28:80
Le site Ixus se dit "tien j'ai recu une requette venant de l'IP 212.x.x.x : port 1024" je lui envoi ce qu'il m'a demandé.
Pendant ce temps, la Freebox et IPcop ont gardés une trace de ta requette (IP et port source <--> destination ) et attendent un réponse d'Ixus pour la retransmetre en toute confiance sur Green et sans aucune restriction.
Le retour venant du port 80 a été demandée de l'interieur et les routeurs/firewall savent ce qu'ils font, c'est le suivi de connexion.
D'ou l'on peut dire "que seules les connexions initiées aurront une réponse"
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
18 messages
• Page 1 sur 2 • 1, 2
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité