IPCop 1.4.21

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCop 1.4.21

Messagepar dumoulin » 13 Oct 2009 13:31

Bonjour à tous,

Voilà, c'est mon premier post sur ce forum car j'ai un souci avec IPCop.
Je suis en train d'en installer un pour une grosse structure de l'enseignement supérieur à Metz.
J'ai une installation de base (sans extensions) et dès que j'active le proxy (redirection vers le port 800) en mode transparent je n'ai plus internet par le biai de mon client de test!!! :?:
Je peut pinger sans problème des sites tel que google.fr par exemple et d'après ce que j'ai compris par défaut (sans extensions) tout passe du vert vers le rouge.
Alors qu'est ce qui peut clôcher avec le proxy? dès que je le désactive tout revient à la normale!
Y a t'il une manipulation particulière à faire?


Et ce que quelqu'un a rencontré le même problème?

Merci d'avance pour votre aide :roll:
dumoulin
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 13 Oct 2009 13:17

Messagepar ccnet » 13 Oct 2009 15:10

Préalablement, avez vous consulté cette documentation : http://www.ipcop.org/1.4.0/en/admin/htm ... s_webproxy ?

Quelques observations complémentaires.

Je suis en train d'en installer un pour une grosse structure [...]

A priori et sauf informations complémentaires, il n'est pas certain que les besoins probablement variés d'une grosse structure puisent être couverts par ipcop. La question se pose aussi en terme d'architecture.

Surtout pour une grosse structure et le volume de logs que cela suppose, l'utilisation du proxy sur le firewall est fortement discutable.

J'ai une installation de base (sans extensions)

Le filtrage du trafic sortant est un élément critique de sécurité. L'ajout de l'addon BOT est donc indispensable afin de contrôler ce trafic sortant.

Je peut pinger sans problème des sites tel que google.fr par exemple ...

La résolution dns fonctionne donc correctement. Ne perdez pas de vue qu'il s'agit, pour ping, du protocole icmp, et que celui ci est sans rapport avec le problème de proxy qui traite les protocoles http(s).
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 13 Oct 2009 15:39

Rien de nouveau : chaque nouvel arrivant, qui écrit la même question ou presque, trouve la même réponse !

Faudrait penser à te renouveler ccnet :lol:


Attention je connais mal IPCOP !

- BOT est totalement indispensable en effet.

- Il faut que la config IPCOP soit correcte "de base" : interface Wan, interface Lan, dns, adresse ip + masque + gateway, ...

- On peut commencer par tester ipcop lui même : ping (@ip numérique) puis ping (nom), puis wget ou ftp.

- Ensuite on teste un PC interne (= du réseau green), et d'abord en mentionnant le proxy en dur.

- Il y a lieu de s'interroger sur la bonne position du proxy : mieux un firewall peu puissant sans la fonction proxy et un proxy puissant mais "basic" (=sur base Debian/Ubuntu).

- Il y a lieu de réfléchir à ce mode "proxy transparent" (cf autre fil de ce jour)

- Un IPCOP est-il le mieux adapté (d'autant qu'il est incapable simplement d'être en cluster) ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar dumoulin » 13 Oct 2009 15:45

Merci d'une réponse si rapide.

La grosse structure en question dispose d'environ 850 postes et d'une vingtaine de serveurs.
La passerelle de site (IPCop) ne va servir qu'à filtrer les protocoles au travers de BOT (configuration en cours).
Le proxy avec installation et configuration d'URLfilter et d'une blacklist n'est destinée qu'au département informatique de la dite structure.
Le cache du proxy est réduit au minimum possible (10 Mo) car en soi il ne présente aucun intérêt (téléchargements à plusieurs dizaines de Mo/s à partir du site de Microsoft).
J'ai pu résoudre mon problème en procèdant à une seconde installation d'IPCop. Visiblement la première devait être corrompue car comme je l'ai dit dans mon premier post, dès que j'activais le proxy sur le réseau green, mon client de test ne parvenait plus à surfer sur internet (http:80).
Maintenant les choses sont rentrées dans l'ordre et tout fonctionne! :lol:

Je me pose cependant la question de ce qui à bien pu arriver (aucun message d'erreur à aucun moment lors de l'installation et ensuite lors de la configuration par interface web).

Merci beaucoup pour votre aide et bonne journée à tous! :D
dumoulin
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 13 Oct 2009 13:17

Messagepar Franck78 » 13 Oct 2009 21:30

Y a t'il une manipulation particulière à faire?

Salut,
tu aurais pu avant de détruire ton IPCop investiguer avec les outils fournis
-les logs pour commencer
-tcpdump
-iftop
...
Mais c'est trop tard et a part un adressage réseau foireu, (le proxy fonctionne, transparent ou non, c'est un fait établi), il y a peu d'autres erreurs possibles sur un IPCop neuf. Et pas de manip cachée. Juste cocher l'activation de squid, transparent ou non ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar dumoulin » 15 Oct 2009 09:18

L'IPCop que j'ai "détruit" était virtuel (sous vmware) de même que mon client et mon contrôleur.
Je teste tout de manière virtuelle avant de procéder à l'installation physique.
Celà pour m'eviter bien des bourdes!!! :wink:

Bonne journée à tous et à toutes
dumoulin
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 13 Oct 2009 13:17

Messagepar jdh » 15 Oct 2009 10:08

Attention à la virtualisation !


Je trouve très approprié de tester grâce à la virtualisation.
Mais attention à bien tenir compte de l'environnement apporté par la virtualisation !

Par exemple, VMware vient avec des switchs virtuels (l'un est connecté à une interface réseau, d'autre à l'hôte, ...), Xen vient avec des interfaces virtuelles "veth", OpenVz ajoute une route vers une fausse adresse interne, et ainsi de suite ...


Concernant la config, avec 850 postes, il n'y a pas de raison de ne pas dédier une machine au firewall et une machine à un proxy. Et rien n'interdit de s'inspirer des paramétrages de Squid et SquidGuard généré pas l'addons de Franck78 et urlfilter (puisque tout s'appuie sur Squid/SquidGuard me semble-t-il).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

ipcop et vmware

Messagepar only » 19 Oct 2009 19:19

jdh a écrit:Attention à la virtualisation !


Je trouve très approprié de tester grâce à la virtualisation.
Mais attention à bien tenir compte de l'environnement apporté par la virtualisation !

Par exemple, VMware vient avec des switchs virtuels (l'un est connecté à une interface réseau, d'autre à l'hôte, ...), Xen vient avec des interfaces virtuelles "veth", OpenVz ajoute une route vers une fausse adresse interne, et ainsi de suite ...


Concernant la config, avec 850 postes, il n'y a pas de raison de ne pas dédier une machine au firewall et une machine à un proxy. Et rien n'interdit de s'inspirer des paramétrages de Squid et SquidGuard généré pas l'addons de Franck78 et urlfilter (puisque tout s'appuie sur Squid/SquidGuard me semble-t-il).


Bonjour,

Effectivement ...beaucoup de problèmes concernant la virtualisation avec VMWARE
Malgré des heures de manips ... je n'ai jamais réussi à avoir un IPCOP propre et fonctionnel sous VMW à cause des switchs virtuels

Ma question : Quelqu'un a-il réussi à faire fonctionner IPCOP 1.4.21 sous VMW ?

Dans l'affirmatif quels sont les contraintes ?

Bien à vous
only
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 20 Déc 2006 16:20
Localisation: Biarritz

Re: IPCop 1.4.21

Messagepar dsbsystem » 19 Oct 2009 21:09

dumoulin a écrit:Bonjour à tous,

Voilà, c'est mon premier post sur ce forum car j'ai un souci avec IPCop.
Je suis en train d'en installer un pour une grosse structure de l'enseignement supérieur à Metz.
J'ai une installation de base (sans extensions) et dès que j'active le proxy (redirection vers le port 800) en mode transparent je n'ai plus internet par le biai de mon client de test!!! :?:
Je peut pinger sans problème des sites tel que google.fr par exemple et d'après ce que j'ai compris par défaut (sans extensions) tout passe du vert vers le rouge.
Alors qu'est ce qui peut clôcher avec le proxy? dès que je le désactive tout revient à la normale!
Y a t'il une manipulation particulière à faire?


Et ce que quelqu'un a rencontré le même problème?

Merci d'avance pour votre aide :roll:


Bonsoir, habitant du coté de Metz, je me demande par curiosité quel type de machine et combien de Ram vous avez utilisé pour un tel réseau.

J'ai déjà monté Ipcop avec pas mal d'addons dont BOT pour 80 postes mais pour 850 ...

Bon tests !!
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron