bonjour,
Comme c'est mon premier mail je me présente : Auguste, responsable réseau dans un PME (45 postes, 8 serveurs).
J'habite a coté de Clermont Ferrand et j'utilise Linux depuis plus de 10 ans maintenant.
Concernant mon petit problème , j'ai mis en place un ipcop et ça marche plutot bien. J'ai ajouté BOT pour filtrer le traffic sortant et URL-filter pour bloquer certains sites (warez, etc...).
J'ai créer des règles dans BOT pour interdire Deezer (vi des @IP) sauf entre 12 et 14h. Cela fonctionnait bien, sauf que depuis que j'ai installé URL-FIlter avec un proxy transparent et bien la règle BOT n'est plus appliquée et deezer est accessible tout le temps, si j'interdit deezer dans URL-FILTER il est interdit tout le temps (pas de config de plage horaires).
Pour moi le traffic passait par URL-FILTER et ensuite par BOT donc je pensais que ça pouvait marcher
hors il semblerait que non ou j'ai peu être oublié un truc (une règle BOT pour le proxy ? )
merci pour votre aide.
Pb BOT + Url Filter
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
Pb BOT + Url Filter
par gslack » 17 Fév 2009 17:59
- gslack
- Matelot
- Messages: 4
- Inscrit le: 04 Fév 2009 18:06
par ccnet » 17 Fév 2009 20:17
Un peu de recherche aurait été nécessaire :
http://forums.ixus.fr/viewtopic.php?t=4 ... =bot+proxy
http://forums.ixus.fr/viewtopic.php?t=4 ... =bot+proxy
Je n'ai pas creusé car je n'utilise jamais de proxy sur le firewall (ipcop ou un autre) pour des raisons évidentes de sécurité. Je crois néanmoins que ces messages pourraient vous mettre sur la voie.
http://forums.ixus.fr/viewtopic.php?t=4 ... =bot+proxy
http://forums.ixus.fr/viewtopic.php?t=4 ... =bot+proxy
Je n'ai pas creusé car je n'utilise jamais de proxy sur le firewall (ipcop ou un autre) pour des raisons évidentes de sécurité. Je crois néanmoins que ces messages pourraient vous mettre sur la voie.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
BOT + URLFILTER proxy transparent
par gslack » 18 Fév 2009 11:36
Bj,
J'ai bien vu ces 2 messages, mais aucun n'apporte de réponse, la seule piste et c'était ma question, c'est que je n'ai pas créé de règles spécifique dans ipcop pour le proxy et pourtant mon proxy fonctionne bien (?), il est sur le port 8000 et en mode transparent.
Comme le préconise un des messages je vais essayer de modifier ma règle HTTP 80 pour n'autoriser que IPCOP à sortir pour voir ce que ça donne et aurotiser le traffic green vers ipcop 8000.
Quelqu'un peut il me confirmer le parcours du traffic HTTP :
Client web -> URLFILTER (proxy transparent port 8000) -> ipcop (iptables BOT) -> web 80
J'ai bien vu ces 2 messages, mais aucun n'apporte de réponse, la seule piste et c'était ma question, c'est que je n'ai pas créé de règles spécifique dans ipcop pour le proxy et pourtant mon proxy fonctionne bien (?), il est sur le port 8000 et en mode transparent.
Comme le préconise un des messages je vais essayer de modifier ma règle HTTP 80 pour n'autoriser que IPCOP à sortir pour voir ce que ça donne et aurotiser le traffic green vers ipcop 8000.
Quelqu'un peut il me confirmer le parcours du traffic HTTP :
Client web -> URLFILTER (proxy transparent port 8000) -> ipcop (iptables BOT) -> web 80
ccnet a écrit:Un peu de recherche aurait été nécessaire :
http://forums.ixus.fr/viewtopic.php?t=4 ... =bot+proxy
http://forums.ixus.fr/viewtopic.php?t=4 ... =bot+proxy
Je n'ai pas creusé car je n'utilise jamais de proxy sur le firewall (ipcop ou un autre) pour des raisons évidentes de sécurité. Je crois néanmoins que ces messages pourraient vous mettre sur la voie.
- gslack
- Matelot
- Messages: 4
- Inscrit le: 04 Fév 2009 18:06
suite config BOT + URLfilter
par gslack » 02 Mars 2009 12:29
j'ai installé une nouvelle machine pour faire mes tests 'tranquillement'
pour l'instant la config est minimale :
1 - une regle GREEN vers IPCOP port 800 (proxy)
2 - une regle GREEN vers IPCOP SSH
j'ai activé le proxy transparent et le filtrage d'url
le filtre d'url fonctionne
le proxy aussi, si je désactive la regle 1 je surf plus
par contre si je place une regle sur BOT pour interdire une IP pour tout le monde ben ça marche pas
ça passe quand meme... j'ai essayé de créer les régles suivantes sans succès
RED vers @IP interdite port any REFUSER
GREEN vers @IP interdite port any REFUSER
@IP du FW ves @IP interdite port any REFUSER
j'ai regardé (iptables -L) les règles qui étaient écrite et la régle d'interdiction est inscrite tout le temps dans BOT_FORWARD, j'en suis arrivé à la conclusion que peut être les trames via le proxy ne passaient par la ???
Ce qui est bizarre c'est que même si l'interface source est RED, BOT écrit dans BOT_FORWARD, ne devrait il pas ajouter la regle dans BOT_OUTPUT qu'en l'interface source est RED ?
Avec un tcp_dump je vois bien mes trames sortir sur GREEN et sur RED avec les bonne IPs, celle qui sont dans les règles mais ça passe toujours ???
j'ai peut être oublié quelque chose dans la config ???
Merci d'avance pour votre aide.
ps: j'ai essayé d'ajouter une règle directement dans la chaine OUTPUT et la ça marche...
pour l'instant la config est minimale :
1 - une regle GREEN vers IPCOP port 800 (proxy)
2 - une regle GREEN vers IPCOP SSH
j'ai activé le proxy transparent et le filtrage d'url
le filtre d'url fonctionne
le proxy aussi, si je désactive la regle 1 je surf plus
par contre si je place une regle sur BOT pour interdire une IP pour tout le monde ben ça marche pas
ça passe quand meme... j'ai essayé de créer les régles suivantes sans succès
RED vers @IP interdite port any REFUSER
GREEN vers @IP interdite port any REFUSER
@IP du FW ves @IP interdite port any REFUSER
j'ai regardé (iptables -L) les règles qui étaient écrite et la régle d'interdiction est inscrite tout le temps dans BOT_FORWARD, j'en suis arrivé à la conclusion que peut être les trames via le proxy ne passaient par la ???
Ce qui est bizarre c'est que même si l'interface source est RED, BOT écrit dans BOT_FORWARD, ne devrait il pas ajouter la regle dans BOT_OUTPUT qu'en l'interface source est RED ?
Avec un tcp_dump je vois bien mes trames sortir sur GREEN et sur RED avec les bonne IPs, celle qui sont dans les règles mais ça passe toujours ???
j'ai peut être oublié quelque chose dans la config ???
Merci d'avance pour votre aide.
ps: j'ai essayé d'ajouter une règle directement dans la chaine OUTPUT et la ça marche...
- gslack
- Matelot
- Messages: 4
- Inscrit le: 04 Fév 2009 18:06
Solution retenue...
par gslack » 09 Mars 2009 19:24
bon finalement pour l'instant je n'ai pas trouvé de vraie solution a mon problème :
Si j'active le proxy + BOT, le traffic passant par le proxy ne passe pas par la chaine BOT_FORWARD et donc pas possible de filtrer le traffic HTTP avec BOT.
je sais que urlfilter le fait mais c'était pour ouvrir certains sites sur des plages horaires etc... la config est plus facile dans BOT que URL filter pour les planif horaires.
Donc pour l'instant j'ai gardé uniquement BOT qui filtre très bien et c'est tout.
une solutionà tester serait de placer le proxy sur un autre pc (différent de l(ipcop) comme ça le traffic passerait bien par BOT_FORWARDS
Si j'active le proxy + BOT, le traffic passant par le proxy ne passe pas par la chaine BOT_FORWARD et donc pas possible de filtrer le traffic HTTP avec BOT.
je sais que urlfilter le fait mais c'était pour ouvrir certains sites sur des plages horaires etc... la config est plus facile dans BOT que URL filter pour les planif horaires.
Donc pour l'instant j'ai gardé uniquement BOT qui filtre très bien et c'est tout.
une solutionà tester serait de placer le proxy sur un autre pc (différent de l(ipcop) comme ça le traffic passerait bien par BOT_FORWARDS
- gslack
- Matelot
- Messages: 4
- Inscrit le: 04 Fév 2009 18:06
Pb BOT + Url Filter -> Solution possible
par ajdw » 17 Juil 2009 13:41
Bonjour,
Je viens tout juste de m'enregistrer sur ce site. La réponse peut arrivée un peu tard pour toi. J'avais le même problème ce matin même. Je peux pas dire que je sois un crac en terme d'IPCop mais j'ai résolu le problème en ajoutant le service Proxy dans les règles de BOT en accès à IPCop. Au départ, je l'avais mis sur la règle de l'accès vers le réseau RED. Or, le proxy se trouve bien sur la machine IPCop et c'est cette même machine qui est mise à contribution lors d'une demande d'un client.
Voilà, j'espère que ton problème s'est résolu.
Ah, au fait, un petit conseil : j'ai découvert la solution grâce à l'utilisation de wireshark. Si tu veux mon avis, je n'utilise pas assez cet utilitaire pour trouver d'où peut venir mes problèmes.
Je viens tout juste de m'enregistrer sur ce site. La réponse peut arrivée un peu tard pour toi. J'avais le même problème ce matin même. Je peux pas dire que je sois un crac en terme d'IPCop mais j'ai résolu le problème en ajoutant le service Proxy dans les règles de BOT en accès à IPCop. Au départ, je l'avais mis sur la règle de l'accès vers le réseau RED. Or, le proxy se trouve bien sur la machine IPCop et c'est cette même machine qui est mise à contribution lors d'une demande d'un client.
Voilà, j'espère que ton problème s'est résolu.
Ah, au fait, un petit conseil : j'ai découvert la solution grâce à l'utilisation de wireshark. Si tu veux mon avis, je n'utilise pas assez cet utilitaire pour trouver d'où peut venir mes problèmes.
- ajdw
- Matelot
- Messages: 1
- Inscrit le: 17 Juil 2009 13:33
- Localisation: Bordeaux
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité