Bonjour,
Je souhaiterai garder la politique de sécurité par défaut d'IPCop mais pouvoir la faire évoluer au fur et à mesure des besoins (notamment bloquer certaines plages d'IP etc...). Pour cela j'ai entrepris de la recopier entièrement avec Block Out Traffic.
IPCOP + green + blue + orange
addons : Zerina et BOT
Voici ma configuration (non testée) : http://web2.dmilz.net/img/bot.jpg (-> pour ouvert, [] pour refusé, [] ... (R) pour rejeté)
Pour résumer, j'aimerais que la politique soit :
Par défaut DROP
green -> any : ouvert
green -> IPCop : ouvert
vpn orange -> any : ouvert
vpn red -> any : ouvert
vpn orange -> ipcop : ouvert
vpn red -> ipcop : ouvert
blue -> green : refusé
blue -> any : ouvert
blue -> IPCop : ouvert
orange -> green : rejeté (drop)
orange -> blue : rejeté (drop)
orange -> IPCop, service DNS : ouvert
orange -> IPCop, service VPN : ouvert
orange -> IPCop : rejeté
red -> IPCop, services VPN : ouvert
red -> IPCop : refusé
Les machines de la zone verte doivent avoir accès à tout. Par extension les machines connectées via VPN (rattachées à la zone verte) aussi. La zone bleue doit avoir accès à tout, sauf à la zone verte, les exception seront géré via BOT ou le menu "accès à la DMZ". Orange doit avoir accès uniquement à red, donc any puis blocage de green, blue et ipcop. Orange doit avoir accès au DNS sur l'IPCop et au serveur VPN. Red n'a accès à rien, sauf au serveur VPN sur IPCop, les exceptions seront gérées via le "Transfert de port".
L'hébergement du serveur DNS (bind) se fait directement sur IPCop car il sert uniquement à la résolution de nom en récursif pour éviter les échanges de paquets dans les différentes zones, il n'accueille pas de zone interne. Actuellement une règle a été ajouté dans le fichier rc.firewall.local pour permettre cet accès.
Je pense que la configuration est correcte, mais un avis extérieur est souvent utile.
Je me pose plusieurs questions :
1/ Est-ce que tous les ports sont ouverts si je ne définis pas de services lors de l'ajout d'une règle ?
2/ Puis-je remplacer la règle "red -> IPCop, services VPN" par une règle dans le menu "accès externe" ? (D'ailleurs le serveur VPN est accessible depuis red, si BOT est désactivé et aucun accès extérieur configuré)
3/ Le menu "Accès à la DMZ" est-il inutile avec BOT, et même source de conflit ?
4/ Faut-il prévoir une règle spécifique à chaque règle de transfert de port ?
Merci.
BOT et Zerina
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
BOT et Zerina
par gemoussier » 20 Mai 2008 11:43
- gemoussier
- Lieutenant de vaisseau
- Messages: 233
- Inscrit le: 08 Avr 2008 16:42
par ccnet » 20 Mai 2008 15:56
Précisez quelle version de BOT vous utilisez car entre la 3 et 2.x il y a de grandes différences de comportement : http://blockouttraffic.de/changelog.php pour les flux vpn.
En particulier : la note du 12/01/08
En particulier : la note du 12/01/08
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par gemoussier » 20 Mai 2008 16:49
J'utilise la version 3.0.0 build 3. Je n'avais pas pensé à regarder le changelog étant donné que je n'avais jamais utilisé BOT auparavant. Les 3 dernières notes répondent a pas mal de mes questions 
Merci !
Merci !
- gemoussier
- Lieutenant de vaisseau
- Messages: 233
- Inscrit le: 08 Avr 2008 16:42
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité