green + red sur meme reseau

[saidmsl]

bonjour,

je suis en train de tester ipcop sur un reseau existant :

LAN ---------- MODEM -------- INTERNET

j'ai donc branche ipcop sur le reseau local :

LAN -----------------------MODEM----------INTERNET
|IPCOP|


donc mes adresses ip sont toutes sur le meme reseau :
GW : 192.168.0.1
GREEN : 192.168.0.2
RED : 192.168.0.3

mes postes ont pour gateway 192.168.0.2 au lieu de 192.168.0.1 auparavant

ca marche

mais j'ai remarque dans les tables de routage qu'il utilise eth0 (GREEN) pour sortir au lieu de eth1 (RED)

Conclusion :

si je coupe le modem routeur et le branche directement sur RED, je n'ai plus acces internet car il ne trouve plus la passerelle 192.168.0.1.

etant en production , je ne peux changer l'adresse ip de mon modem ni changer ceux de mes postes.

une idee? solution?
ipcop : 1.4.18

Merci d'avance

Said

[tomtom]

Bonjour,

une idee? solution?
ipcop : 1.4.18

Ho oui : Utiliser IPCop selon les modalités pour lesquelles il est fait.

Le comportement est tout à fait logique et en plus avec le jeu des icmp redirect tu ne tarderas pas à te rendre compte que rien ne passe par IPCop !

t.

[ccnet]

Faites fonctionner ipcop dans les conditions pour lesquelles il est prévu. Lisez le newbie kit.
RED et GREEN ne doivent pas être dans le même sous réseau. Tant que cela ne sera pas modifié, vous allez au devant de problèmes, en dehors de l'incohérence conceptuelle qui consiste à mettre les deux interfaces d'ipcop sur le même sous réseau. Revoyez vos bases.

[saidmsl]

merci.

comme je l'ai dit, je faisais un test. pour experience (j'aime bien experimenter).
j'ai change les routes manuellement et ca l'air de marcher.

j'ai deja un autre ipcop qui marche impec (de production) , celui qui sert de passerelle a mon reseau.



c'est bon, je vais changer les adresses quand je peux .

Cdlt

Said

[ccnet]

merci.

comme je l'ai dit, je faisais un test. pour experience (j'aime bien experimenter).

Said

Votre test s'apparente à la pose d'un cable RJ45. Il n'a aucun sens. Je le dis brutalement car il serait dommage que d'autres utilisateurs découvrant ipcop perdent leur temps dans une manipulation semblable dont il n'apprendraient rien. Alors que par ailleurs ce logiciel est remarquable.

[saidmsl]

Excusez moi, mais je n'ai jamais dit que ipcop n'etait pas remarquable.
et ce n'est pas la peine de vous enerver ou de me "fusiller".

Je vous le repete encore : il s'agit d'un test. j'ai deja installe d'autres ipcop, pfsense. linux .... et je m'en suis toujours sorti.
juste pour votre information : je n'ai pas uniquement pose un cable comme vous dites.

mais sujet clos!

[ccnet]

Excusez moi, mais je n'ai jamais dit que ipcop n'etait pas remarquable.
et ce n'est pas la peine de vous enerver ou de me "fusiller".

Et je n'ai pas dit que l'aviez dit.

Je vous le repete encore : il s'agit d'un test. j'ai deja installe d'autres ipcop, pfsense. linux .... et je m'en suis toujours sorti.
juste pour votre information : je n'ai pas uniquement pose un cable comme vous dites.

mais sujet clos!

Pardonnez moi mais le sujet n'est pas clos. Ce que vous ne comprenez pas, c'est qu'il n'est pas possible de considérez les opérations que vous avez réalisé comme un test. A partir du moment où vous travaillez en dehors des spécifications d'ipcop, il ne saurait être question d'un test d'ipcop. Et l'on ne peut en tirer aucun conclusion valide.

Cela n'empêche pas que vous vous en sortiez quand même lorsque vous respectez les spécifications d'un produit. Ce que je conteste c'est la validité du test.

[xandre]

Hum ! Cela dit en passant je n'utilise pas Ipcop comme indiqué. A savoir :

Nous disposons deja d'un routeur / parefeu donnant acces au web ne nous appartenant pas (FAI).
Celui-ci est dans le reseau GREEN.
Donc j'ai installé un IpCop en mode green + red (afin d'en faire un proxy/filtre). Et j'ai connecté seulement la patte GREEN car j'avais bien constaté que la patte RED etait la pour decorer.
Et je n'ai modifié à la main aucuns fichiers de config...

Au final, les navigateurs webs ont l'adresse du proxy Ipcop et passent dedans, et ipcop renvoie sur le routeur.
TOUT se passe sur la carte GREEN. C'est une 3Com en 100 mbs qui gère potentiellement plus de 60 postes dont facile 30 se connectent en simultané.
Ca fait plus de 2 ans que ca marche impeccable. Tout est filtré.

La bete faisant tourner Ipcop est un athlon 1ghz avec 512 Mo et 20 Go de DD.
Je viens de monter un petit frere de secours au cas ou, car l'ordinateur doit suivre des cadences infernales dans tous ces traitements de paquets. Matos sollicité donc usure plus rapide...


Mea culpa, j'avoue ne pas utiliser Ipcop comme indiqué, mais ca marche vraiment bien.

[tomtom]

"tout est filtré"... heu... tu veux dire que tu as configuré le proxy des postes clients pour passer par IPCop.. Soit. Mais tout n'est pas filtré pour autant ! En particulier, tu ne traverses jamais le firewall d'IPCop

Le preuve que ca ne marche pas super :

http://forums.ixus.fr/viewtopic.php?t=40313&highlight=


Il faut savoir que dans cette configuration il se passera des choses que tu ne maitrises pas (ICMP redirect par exemple) et que les paquets de retour ne passent pas par IPCop ce qui a obligatoirement des effets de bord....

t.

[jdh]

Je ne veux pas passer pour celui qui en met une couche de plus, mais ...


Si je voulais tester Ipcop dans mon réseau existant, je prendrais normalement 2 PC : 1 pour l'ipcop et 1 pour mettre en Green.

Parce que je me doute que le réseau Red et Green ne peut être identique ... puisque, justement, le but est de protéger l'un de l'autre !

Donc , 1 pc pour Ipcop avec le Red sur le switch de mes utilisateurs lambda, et le Green avec un câble croisé vers un pc tout seul en config dhcp standard.

Et hop zou, le newbie kit, quelques tests, et je vois ce qu'il se passe.

Puis un petit switch et je récupère un pc lambda et re-nouveau test.


Ainsi j'aurais protégé mon "coeur de métier" les utilisateurs habituels ...

[xandre]

Oui quand je disais tout, j'aurais du preciser filtrage URL. Il est vrai que le firewall ne bosse pas. (ni le DHCP, ni snort ...). Et bien entendu seuls les navigateurs web passent par le filtre.

Les autres applis (msn messenger, jeux reseau etc ..) peuvent passer directement sur la passerelle. Là, on bloque via GPO (la encore c'est pas parfait, Windows se fait ramasser rien qu'en renommant l'exec interdit dans la GPO), les applis portables (clés usb) non autorisées.
Au pire, ipcop en proxy transparent (donc pour les clients ipcop serait la passerelle). Deja essayé et ca marche très bien, mais là, seule la navigation web est possible. Et pour les cours d'info, il est enseigné le transfert ftp...

Mais comme il en existe deja un - de firewall-, Ipcop en est "réduit" à la fonction de proxy /filtre URL.
Je n'ai pas envie de m'embarquer dans la config de deux firewalls surtout que l'un ne m'est pas accessible si ce n'est en téléphonant au FAI qui m'ouvre ou ferme un port ou cree une regle dans la semaine (pas les minutes qui suivent. non c'est trop rapide). En plus par défaut le routeur/parefeu bloque tout en entrée ET sortie sauf les ports demandés expressément.

Tâche incessante de filtrage pour Ipcop donc, car les accès web sont permanents pendant plus de 7 heures.

C'est surtout le fait de filtrer les sites web qui est important dans mon cas car aux yeux de la loi nous avons pour obligation de "protéger" les individus mineurs face aux contenus litigieux d'Internet. Bien sûr on ne peut tout filtrer, mais c'est une obligation de moyen qui compte, pas de résultat.

Et pourquoi Ipcop a été choisi alors ?
L'interface graphique (pas encore le temps de me jeter dans les règles squid et squidguard à entrer à la main).

Après si il existe une autre solution gratuite ou libre, plus spécialisée dans le filtrage URL mais toujours avec interface graphique, je peux essayer.

[ccnet]

Oui quand je disais tout, j'aurais du preciser filtrage URL. Il est vrai que le firewall ne bosse pas. (ni le DHCP, ni snort ...). Et bien entendu seuls les navigateurs web passent par le filtre.

Tout, oui, mais non, presque rien en fait et pas comme prévu ... Ces approximations sont vraiment regrettables. Ensuite les problèmes arrivent.
Et surtout d'autres utilisateurs suivent avec confiance des exemples de configurations qui en réalité ne fonctionnent pas comme leur auteurs le prétendent avec des effets de bords incontrôlables.
Les documentations et spécifications des concepteurs de logiciels ne sont pas faites caller une armoire ou remplir les étagères.
Hélas ce comportement est plus répandu qu'on le pense. J'ai le souvenir pas très ancien d'une très grande entreprise où une équipe s'était lancé dans une migration en utilisant une méthode dont l'éditeur du produit (IBM) indique qu'elle n'est ni recommandée, ni testée, ni supportée. Faute de préparation ils sont allés dans le mur. Quand cela impacte potentiellement plusieurs milliers d'utilisateurs on joue sa place.