demande de renseignements avant installation IPCOP

[sergio1024]

Bonjour,

Je suis responsable informatique d'un etablissement scolaire. Notre réseau se compose d'un réseau "administratif" et d'un réseau "pedagogique" avec un accès internet 8M (orange) par réseaux.
J'ai 2 modems/routeurs qui sont configurés en "Tout interdire en entrée et tout autoriser en sortie" basique quoi.

Je m'interesse de plus en plus au monde libre et aux multiples possibilités que cela offre. J'ai decouvert IPCOP et je me suis decidé à le mettre en place sur mon réseau "administratif". voici mes questions.

1/ Je pense utiliser un P3 700Mhz avec un disque de 20 GO et 128 mo de RAM. Est-ce convenable pour l'utilisation du pare-feux et peut-être du proxy ?

2/ Au niveau du modem-routeur : Est-ce preferable que je le re-configure en mode "bridge" ou puis-je conserver son mode routeur ? mais dans ce cas, faut-il que je le desactive sa fonction firewall ou puis-je le laisser avec sa config actuelle "Tout interdire en entrée et tout autoriser en sortie" ?

3/ Au niveau du cablage et de l'adressage : J'utiliserai IPCOP en mode GREEN+RED avec l'adressage suivant :
192.168.1.1 pour le modem/routeur
192.168.1.5 pour la carte réseau RED
192.9.200.5 pour la carte GREEN pour mon réseau 192.9.200.0 /24.

un câble croisé entre le modem et carte RED et un droit entre GREEN et mon switch

pour les clients : IPCOP en passerelle et mon serveur de domaine en DNS (qui contient les DNS orange)

Cette preparation est-elle correct (adressage cablage) ?

4/ J'ai vu qu'il existe beaucoup d'addons pour IPCOP, pouvez-vous par vos experiences me conseiller ? Je voudrais filtrer mes sorties (autoriser que le HTTP....), Est-ce que BOT convient ?
Je vais pais peut etre me lancer dans le proxy aussi, mais est il rellement necessaire avec une connexion 8M (je suis 6,5 en fait) pour sa fonction cache ? y-a t'il un addon pour qui permet de voir les sites visités par IP et les temps de connexions ?

5/ Pour les Addons, d'après mes recherches je dois utiliser WinSCP pour le transfert des fichiers vers le serveur IPCOP, puis-je le effectuer les transferts à partir d'une machine windows ? (je pense que oui vu le nom"win"SCP). Pour l'installation des addons j'utiliserai Putty pour la ligne de commande à distance.


Voilà, j'espere que vous pourrez me faire partager vos experiences sur ces differents points.
Merci d'avance.

Un IPCOPIEN debutant....

[jdh]

Bonsoir,

(bravo pour ce premier message bien écrit et complet ! à recommander !)

1) P3 700 c'est très correct, 20G ça va en faire des logs, 128M ce sera un peu juste avec un gros cache (proxy) : attention à la taille choisie.

2) Le mieux est que Red soit en direct sur Internet, donc le modem "bridge". La raison est qu'il faudra faire 2 renvois de ports pour chaque besoin si le modem est aussi routeur. Au besoin, le modem peut rester en routeur : le mot "firewall" me parait un peu exagéré pour un routeur.

3) Je passe sur le réseau Red cf point 2. Le réseau Green devrait être conforme à la RFC 1918, par exemple 192.168.x.x. Comment joindre ensuite un site internet en 192.9.200.x ? Avec un contrôleur Windows, il est préférable qu'il soit en effet le DNS des PC (statique ou dhcp). Il devra "forwarder" son DNS non à Orange mais à l'IPCOP (si la connexion est en bridge, au routeur). Ceci est toujours nécessaire avec Wanadoo/Orange.

4) BOT me semble obligatoire parce que je ne conçois pas de firewall qui ne filtre pas en sortie. Squid est dispo de base dans IPCOP. Il doit être accompagné de l'addon SquidGuard réalisé par Franck78. Cela fournit un filtrage par rapport aux blacklists usuelles. Je ne connais pas advproxy ou urlfilter ...

5) Pour le transfert de fichier (addon en l'occurence), il faut utiliser en effet "winscp" (plus simple) ou "filezilla" (plus complet). De même il est possible de prendre la main (en terminal) avec "putty", une autre référence. (Attention port 222 et non l'usuel 22 pour ssh ou sftp).


A mon tour, ne faudrait-il pas un filtrage entre réseau pédagogique et administratif ? A moins qu'il ne soit prévu 2 IPCOP !

[Franck78]

4) Squid est dispo de base dans IPCOP. Il doit être accompagné de l'addon SquidGuard réalisé par Franck78. Cela fournit un filtrage par rapport aux blacklists usuelles.

Hello,
192.9.200.x: c'est pas très heureux comme choix, d'accord avec JDH. Perso je préfère un bon 10.x.x.x qui laisse toute les possibiités de découpage grace à la vingtaine de bits mask dispo!

Le modem plutôt en bridge. Facilite les VPNs, le dyndns, pas de double nat, ...

Il y a plusieurs écoles/collèges qui utilsent IPCop. Les éleves sur le bleu, l'administratif sur le vert.
Pas besoin de carte wifi d'ailleurs. Carte réseau classique+switch pour bleu.

Faudra peut être pas lancer snort sur cette config. Ou alors surveiller attentivement la mémoire et l'utilisation du swap. Cepandant, remplacer les 64Mo ou trouver une jumelle à la 128Mo ne devrait pas être dur dans une école. Suffit de demander alentour qui possède des vieilleries

[sergio1024]

Merci "jdh" pour ces reponses.

En effet je n'avais pas tenu compte de l'adressage du reseau "administratif" en 192.9.200.0 (en place avant mon arrivée...). Donc je vais passer en classe privée mais ça va prendre un peu plus de temps que prévue.....(configuration des differents serveurs...).


Pour le reseau pedagogique d'adressage 192.168.65.0 /24 (aux normes ..lol), le filtrage entre les 2 réseaux se fait par l'adressage. En fait il n'y a pas de separation physique entre les 2. Toutes les machines se connectant au reseau obtiennent de base une @IP "pedagogique", les @IP "administratif" se font par reservation @MAC.

C'est pour ça que je pensais Installer un 2ème IPCOP plus tard pour le reseau "pedagogique". Le problème est que sur ce reseau il y a un proxy "OPTENET" qui permet le filtrage de site par categories (sexe, chat, terrorisme...) grâce à une blacklist mise à jour par OPTENET. De plus j'ai des extractions de rapports trés completes par user (user directement recuperés d'Active Directory)....C'est vrai que c'est un cout (300€ à l'année).... Donc je dois faire des recherches avant pour voir comment IPCOP gere un proxy "externe"...

Dans tous les cas merci de tes reponses.

PS : si par la même occasion quelqu'un peut me conseiller sur d'autres solutions libres à mettre en place dans un reseau je suis preneur....et aussi si vous avez des experiences en milieu scolaire avec des outils et logiciels sympa pour l'administration ou autres .

Merci

[grome]

Bonjour sergio

J'ai une config similaire et tout fonctionne parfaitement sur une connexion de 6Mb/s.
Tous les modules sont activés. Ceci dit il est vrai en regardant le graphe qu'une barre de 128mo serait bienvenue.

Même remarque pour l'adressage et le modem en bridge.

Tu ne serais pas prof d'info dans le poitou-charentes ?

[grome]

A oui j'oubliais pour la config des modems si ce sont des linksys. Il faut bien choisir le mode "bridge only" car je crois que qu'il existe un mode "bridge" qui n'en n'est pas complètement un mais je ne me rappelle plus si c'est valable que sur les modems ou bien aussi sur les modems/routeurs

[sergio1024]

Bonjour grome,

Non je ne suis pas profs d'infos dans le poitou-charentes. Je suis en region parisienne.
Merci pour tes infos. Je vais rajouter 128M au serveur IPCOP et je pense me lancer dans l'installation pendant les vacances de paques. Je pense avoir assez d'informations avec la lecture des differents posts du forum.

Si vous avez d'autres infos je suis preneur.

Merci

[grome]

je t'ai dis des bétises je suis en 128 mo et non en 64 donc je corrige le poste au dessus pour ne mettre aucun lecteur en erreur.

[Gaston]

Bonjour,

Donc je dois faire des recherches avant pour voir comment IPCOP gere un proxy "externe"...

Ce n'est pas une spécificité d'IPCop, dans la configuration de squid tu définis une directive ParentProxy. Selon les acls que tu définiras, tu peux choisir quelles requêtes tu forwardes vers tel ou tel proxy (je ne connait pas la limite, mais une trentaine ça passe). Par contre il faudra peux-être attentif à quels ID sont remontés au proxy parent : en effet si tu masques l'identité de l'utilisateur réel tu prends le risque de n'avoir qu'un seul user dasn ton proxy externe : IPCop (le problème n'existe que pour des stats sur user identifié).

G.

[Franck78]

De plus j'ai des extractions de rapports trés completes par user (user directement recuperés d'Active Directory).

bof bof, ce qui compte n'est pas de savoir que tartempion a été bloqué sur tel site mais que le dit site est bloqué [sans exception].

A la limite, loguer l'adresse IP pour essayer éventuellement vraiment si il y a du temps a perdre de voir quelle classe est la plus encline à découvrir la vie Je crois que générer plus d'infos nominatives que nécécessaire est très discutable.