Migration d'un eTrust - Firewall vers un IPCOP ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar Guldil » 06 Mai 2003 10:50

Bonjour à tous, <BR> <BR>La question est simple, actuellement l'accès Internet tourne avec eTrust-Firewall et j'etudie son remplacement par une solution "moins cher" et fiable <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Donc la configuration : <BR>- un eTrust FireWall en red - orange - green <BR>- un relais SMTP sur la DMZ pour faire rentrer nos emails. <BR>- un LAN privé avec un MSProxy Server 2.0, un Exchange pour les mails. <BR>- un petit passthrough (red-green) PPTP pour le VPN. <BR> <BR>On doit garder le même principe de fonctionnement : <BR>- seul le Proxy a le droit de faire du port 80 (les utilisateurs utilisent donc obligatoirement le proxy). <BR>- pareil pour le HTTPS c'est que le proxy qui a le droit de passer. <BR>- certains PC ont le droit de faire du FTP en direct <BR>- pas de Pop3 en direct, pas de SMTP en direct etc... <BR>- le SMTP est seulement autorisé à partir du serveur Exchange privé. <BR>- eviter au maximum la configuration du IPCOP en Linux - ligne de commande (si possible rester sur une administration exclusivement Web) <BR> <BR>Mes problèmes ou questions rencontrés sur IPCOP 1.3.0: <BR>- à priori il ouvre tout au niveau de l'interface green, ca ne m'interresse pas, je veux pouvoir limiter l'accès (voir règles précédentes). Est ce que c'est possible seulement avec l'interface green ? <BR>- pour le SMTP entrant, est ce que faire une règle dans "accès à la DMZ" suffira ? <BR>- il y a plusieurs IP fixes asignées par notre ISP, il me suffit de les configurer dans "alias externes" ? <BR> <BR>Bon certaines questions peuvent sembler "bizarres" mais je ne peux pas tester en live! Je dois donc préparer AVANT au maximum le IPCOP pour savoir si çà fonctionne <IMG SRC="images/smiles/icon_smile.gif"> Ben vi on a des utilisateurs quand même ... <BR> <BR>Merci de vos réponses, <BR> <BR>Guldil
Avatar de l’utilisateur
Guldil
Matelot
Matelot
 
Messages: 2
Inscrit le: 06 Mai 2003 00:00

Messagepar tomtom » 06 Mai 2003 10:58

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> <BR>On doit garder le même principe de fonctionnement : <BR>- seul le Proxy a le droit de faire du port 80 (les utilisateurs utilisent donc obligatoirement le proxy). <BR>- pareil pour le HTTPS c'est que le proxy qui a le droit de passer. <BR>- certains PC ont le droit de faire du FTP en direct <BR>- pas de Pop3 en direct, pas de SMTP en direct etc... <BR>- le SMTP est seulement autorisé à partir du serveur Exchange privé. <BR>- eviter au maximum la configuration du IPCOP en Linux - ligne de commande (si possible rester sur une administration exclusivement Web) <BR> <BR>Mes problèmes ou questions rencontrés sur IPCOP 1.3.0: <BR>- à priori il ouvre tout au niveau de l'interface green, ca ne m'interresse pas, je veux pouvoir limiter l'accès (voir règles précédentes). Est ce que c'est possible seulement avec l'interface green ? <BR>- pour le SMTP entrant, est ce que faire une règle dans "accès à la DMZ" suffira ? <BR>- il y a plusieurs IP fixes asignées par notre ISP, il me suffit de les configurer dans "alias externes" ? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Bon je dirais que IPCop PEUT faire tout ça.... <BR> <BR>Mais.... <BR> <BR>- Effectivement, si tu veux fermer depuis le green et ouvrir au cas par cas (pour le ftp par exemple) il te faudra obligatoirement jouer à la main dans les règles IPTables. <BR>L'interface web ne permet pas de faire des configs "exotiques". <BR> <BR>- Pour les différentes IP publiques, je ne pense pas que cela fonctionne... Il faudrait mieux mettre une config ou la DMZ est en IP publique (ca me parait plus simple), mais dans ce cas là pas de nat depuis la DMZ, et à mon avis là encore config a la mano.... <BR> <BR>En clair, tu ne pourras pas faire tout ce que tu veux depuis l'interface... Mais si tu es prte à te plonger dans les règles iptables, et avec l'aide de la communauté IXUS, IPCop peut correspondre à tes besoins.... <BR> <BR>Thomas
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Guldil » 06 Mai 2003 11:09

A la limite mettre vraiment les mains dedans ne me "posent" pas de problèmes mais il faut être sur que celà fonctionne... <BR> <BR>En fait le problème vient plutôt des tests et de la configuration du machin, je ne peux pas simuler la connexion actuelle <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Pour la partie IPTABLES, comme d'hab le HOW-TO ? <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Entout cas merci de ta réponse <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>A+ <BR>Guldil
Avatar de l’utilisateur
Guldil
Matelot
Matelot
 
Messages: 2
Inscrit le: 06 Mai 2003 00:00

Messagepar tomtom » 06 Mai 2003 11:13

Doc iptables : <!-- BBCode auto-link start --><a href="http://www.netfilter.org" target="_blank">www.netfilter.org</a><!-- BBCode auto-link end --> (faut prendre à la source). <BR> <BR>Je suis sur que tu peux tout faire ! <BR> <BR>Par contre, c'est sur qu'il vaudrait mieux faire des tests <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité