optimiser ipcop vos conseils

[mocofni]

Bonjour,

J'ai installé un ipcop cop sur une de nos structure de logements ( environ 150) pour offrir internet sous forme de hotspot avec une 15 aine d'AP installés.

Mon ip cop est un P3 avec 96 mo de ram et fonctionne correctement.

Mes addons ( bot et snort sont désactivé car trop gourmands)
SAuf adv proxy

Néanmoins j'ai besoin de vos conseils pour optimiser mon ip cop (j'ai pas cherché sur les forums mais pas fructueux)

en fait je souhaite offrir un bon débit à chacun en limitant le téléchargement

Débit descendant : 6550 kbit/s · 819 ko/s

Débit montant :633 kbit/s · 79 ko/s


Dans le proxy j'ai empeché les fichiers binaires et limité le télchargement par hôte à 64 kb/s.
Pour les limites de transfert j'ai mis 512 kb/s en descendant et 128 kb/s en remontant


Les personnes arrivent à surfer mais pour ce qui est de télécharger des billet de train recevoir des pièces jointes impossible
Je me suis aussi aperçu que le flux vidéo comme you tube ne passent pas

Je ne comprend pas bien la nuance de la limite de transfet.


Concernant le lissage de traffic:

- si j'active cette fonction et que je spécifie que le port 80 en priorité haute est ce que les autres ports seront bloqués si je ne les spécifie pas?

- je suis un peu perdu également entre les paramètre de débit généraux du lissage de traffic et ceux de la limitation de transfert du proxy, les données doivent^elles être les même n'y a til pas de risue de double emploi?


Donc selon vous quels sont vos conseil d'optiisation de base de mon ip cop pour que tt le monde soit content?

Merci d'avance

[jdh]

Un petit parcours sur ce site montre que :

- SNORT est gourmand : Oui, et en plus cela demande une expertise importante. A déconseiller !

- BOT N'EST PAS gourmand : c'est même tout à fait indispensable d'utiliser BOT : AMHA ne pas utiliser BOT est une grave erreur : ne serait ce parce que la règle par défaut "Green vers Red tout autorisé" est ahurissante !

- 96 M n'est pas du tout suffisant pour utiliser Squid + son complément Squidguard, et par conséquent tous les addons basés dessus advproxy, urlfilter, ...

- le lissage de traffic n'est pas une science exacte (loin de là).


Il me semble clair que le premier point à faire c'est d'avoir 512 M par exemple.

NB : pour passer de kbit à ko, il faut diviser par 10 et non par 8 ! (un bit de start et un bit de stop)

[ccnet]

Mes addons ( bot et snort sont désactivé car trop gourmands)

Autant je ne vois pas l'utilité de snort sur une configuration de ce type autant ne pas utiliser bot me semble une grave erreur. Je ne recommence pas à développer le pourquoi, cela a été abordé maintes fois ici.
Pour le reste je ne serai pas d'une grande aide.

Edit : après avoir posté je vois sans surprise que je ne suis pas le seul à sursauter s'agissant de bot.

[jdh]

Il y a unanimité : "grave erreur" !

Concernant le lissage, il me semble qu'il faut raisonner avec iptables + tc. A ma connaissance ce n'est pas dans Squid que l'on peut régler quoi que ce soit.

J'ignore comment utiliser le traffic shapping dans iptables.

[mocofni]

ok

Je vais donc augmenter la ram, j'ignorai qu'adv proxy se basait sur squid et demandait plus de ressources.

Concernant les paramètres de limite de transfert et de réglage du prxy que faut il indiquer selon vous ?

Mon but est que tout le monde ai les même performance en connexion ( sans parler de la distance de l'AP) mais que le flux se mutualise selon le nbe de pers connectées.

D'autre part j'ai mis l'ip cop juste pour avoir un tracking des connexions ( en cas de controle des autorités)

Dans ce cas BOT est il nécessaire?

[jdh]

Visiblement tu ne sais pas ce qu'est BOT. Par conséquent, tu rejettes BOT sans raison. "je ne sais pas ce que c'est, alors je n'utilise pas" est hélas fréquent ! Le lien (de base) : http://blockouttraffic.de/


La traçabilité des connexions est (au minimum) le log de Squid. Or Squid ne peut guère bien bien fonctionner avec 96 M !

Il faut comprendre, de plus, ce qu'est la rotation des logs, l'affectation des adresses ip. Je préconise un dhcp "statique" (= par adresse MAC).

Tracer les connexions suppose que l'utilisateur ne sait pas changer d'adresses ip (parce que dans le log il n'y a qu'une adresse ip). Bref une escroquerie AMHA.

[mocofni]

Merci de ta réponse,

Concernant bot je n'ai pas envie de le laisser de côté, je suis déjà allé sur le site et lu la doc, qui plus est installé sur mon ip cop et je ne rejette pas, et je comprend ta réaction.

Mais par manque de temps malheureusement, je n'ai pas encore pu le tester complètement et l'activer.
J'ai du me familiariser à ip cop en 1 jours, et diagnostiquer une panne alors que je ne connaissait rien à ipcop pour au final voir que c'était la carte réseau rouge intégrée au chipset de la carte mère qui était défaillant.

Aussi pour ne pas laisser trop longtemps les gens dans l'attente j'ai remis en place une autre UC avec ip cop de base pour dépanner.

Aussi pour BOT je préfère le laisser désactivé car avant de mettre en place un addons ou quelqu'autre logiciel je préfère le maitriser et le mettre en place après.
Car bien souvent dans mon boulot j'ai été victime de ce cas ou l'on t'installe un programme et lorsque des pb arrivent tu t'aperçois que les personnes ne maitrisent pas ce qu'ils t'ont installé et où tu vois qu'ils se rodent sur ton système, je ne trouve pas cela très pro et ça me fou les boules mais bon s'ils arrivent à faire du chiffre comme cela c'ets peut etre moi qui suis trop exigeant...

Ils installent et les éléments de base marchent alors ils ne cherchent pas plus loin et bien souvent j'ai résolu moi même ces pb car je gagnais plsu de temps en cherchant seul qu'en les appelant et bien souvent après c'ets toi qui leur apprend des choses.

L'informatique ets pour moi une passion c'est peut etre la la difference avec eux ( je ne sais pas) et j'ai soif de tjs apprendre plus, aller plus loin que les simple utilisation de base par curiosité et désire de vouloir maitriser + que 20% de l'outil.

Aussi tu comprendras que comme je ne le maitrise pas faute de temps pour le moment je ne préfère pas l'activer.

[pascal1024]

BOT est simple a installer et assez simple à configurer. Il faut bien entendu quelques connaissances de base en firewall (netfilter et tcp/ip pour les principes). Il est en effet indispensable car IPCop par défaut ne filtre que ce qui rentre et pas ce qui sort...
Il tourne sans problème sur mon vieux pc (µP PIII-233, RAM 192 M0, HDD 4Go)

[mocofni]

ok

et concernant les conseil de limite de transfert quels sont vos conseil ?

[Franck78]

Ils installent et les éléments de base marchent alors ils ne cherchent pas plus loin et bien souvent j'ai résolu moi même ces pb car je gagnais plsu de temps en cherchant seul qu'en les appelant et bien souvent après c'ets toi qui leur apprend des choses.

Mais de qui donc parles-tu là

[jdh]

J'ai du me familiariser à ip cop en 1 jours

Familiariser ou comprendre ? Avec quel addons ?


Si nous écrivons que BOT est assez indispensable, c'est parce que les règles par défaut d'IPCOP sont laxistes (elles sont rappelées dans le newbie-kit), et que, justement, BOT permet, simplement, de créer des règles correspondantes aux flux nécessaires.

Mais, bien plus fondamental, c'est la connaissance des protocoles, des mécanismes en jeu, la capacité à décrire et à paramétrer en accord, qui compte dans la mise en oeuvre d'un élément de sécurité.

En effet, le firewall n'est qu'un élément de sécurité, certe important, mais un élément parmi d'autres.


Je doute qu'en 1 journée, on puisse prendre la mesure d'un firewall et de ses nombreux addons. Enfin, moi, je m'en prétends pas capable.

[mocofni]

Mais de qui donc parles-tu là

je parlais de boite info avec qui nous étions client, c'était juste un petit coup de $%#&!

Familiariser ou comprendre ? Avec quel addons ?

et bien en familiariser et comprendre les bases ( avec les tutos) d'ip cop et des modules que la personne avait installée ( cad ad proxy, url filter, squiguard, BOT) mais qui n'étaient pas utilisés et comme je suis newbie en linux.

Enfin, moi, je m'en prétends pas capable

.

Ne t'inquiète pas moi non plus, je sais que cela demande du temps et c'est très intéressant, mais comme le temps me manquent car je suis sur d'autre dossier j'ai cherché à aller à l'essentiel pour le moment afin de gérer l'urgence et après allez plus loin dans l'outil.

Grace aux tutos j'ai gagné bcp de temps c'est pour cela que j'ai dit qu'en 1 journée j'avais appris le béaba pour dépanner, réinstaller et remettre la base.