IPCop 1.4.21

[dumoulin]

Bonjour à tous,

Voilà, c'est mon premier post sur ce forum car j'ai un souci avec IPCop.
Je suis en train d'en installer un pour une grosse structure de l'enseignement supérieur à Metz.
J'ai une installation de base (sans extensions) et dès que j'active le proxy (redirection vers le port 800) en mode transparent je n'ai plus internet par le biai de mon client de test!!!
Je peut pinger sans problème des sites tel que google.fr par exemple et d'après ce que j'ai compris par défaut (sans extensions) tout passe du vert vers le rouge.
Alors qu'est ce qui peut clôcher avec le proxy? dès que je le désactive tout revient à la normale!
Y a t'il une manipulation particulière à faire?


Et ce que quelqu'un a rencontré le même problème?

Merci d'avance pour votre aide

[ccnet]

Préalablement, avez vous consulté cette documentation : http://www.ipcop.org/1.4.0/en/admin/htm ... s_webproxy ?

Quelques observations complémentaires.

Je suis en train d'en installer un pour une grosse structure [...]

A priori et sauf informations complémentaires, il n'est pas certain que les besoins probablement variés d'une grosse structure puisent être couverts par ipcop. La question se pose aussi en terme d'architecture.

Surtout pour une grosse structure et le volume de logs que cela suppose, l'utilisation du proxy sur le firewall est fortement discutable.

J'ai une installation de base (sans extensions)

Le filtrage du trafic sortant est un élément critique de sécurité. L'ajout de l'addon BOT est donc indispensable afin de contrôler ce trafic sortant.

Je peut pinger sans problème des sites tel que google.fr par exemple ...

La résolution dns fonctionne donc correctement. Ne perdez pas de vue qu'il s'agit, pour ping, du protocole icmp, et que celui ci est sans rapport avec le problème de proxy qui traite les protocoles http(s).

[jdh]

Rien de nouveau : chaque nouvel arrivant, qui écrit la même question ou presque, trouve la même réponse !

Faudrait penser à te renouveler ccnet


Attention je connais mal IPCOP !

- BOT est totalement indispensable en effet.

- Il faut que la config IPCOP soit correcte "de base" : interface Wan, interface Lan, dns, adresse ip + masque + gateway, ...

- On peut commencer par tester ipcop lui même : ping (@ip numérique) puis ping (nom), puis wget ou ftp.

- Ensuite on teste un PC interne (= du réseau green), et d'abord en mentionnant le proxy en dur.

- Il y a lieu de s'interroger sur la bonne position du proxy : mieux un firewall peu puissant sans la fonction proxy et un proxy puissant mais "basic" (=sur base Debian/Ubuntu).

- Il y a lieu de réfléchir à ce mode "proxy transparent" (cf autre fil de ce jour)

- Un IPCOP est-il le mieux adapté (d'autant qu'il est incapable simplement d'être en cluster) ?

[dumoulin]

Merci d'une réponse si rapide.

La grosse structure en question dispose d'environ 850 postes et d'une vingtaine de serveurs.
La passerelle de site (IPCop) ne va servir qu'à filtrer les protocoles au travers de BOT (configuration en cours).
Le proxy avec installation et configuration d'URLfilter et d'une blacklist n'est destinée qu'au département informatique de la dite structure.
Le cache du proxy est réduit au minimum possible (10 Mo) car en soi il ne présente aucun intérêt (téléchargements à plusieurs dizaines de Mo/s à partir du site de Microsoft).
J'ai pu résoudre mon problème en procèdant à une seconde installation d'IPCop. Visiblement la première devait être corrompue car comme je l'ai dit dans mon premier post, dès que j'activais le proxy sur le réseau green, mon client de test ne parvenait plus à surfer sur internet (http:80).
Maintenant les choses sont rentrées dans l'ordre et tout fonctionne!

Je me pose cependant la question de ce qui à bien pu arriver (aucun message d'erreur à aucun moment lors de l'installation et ensuite lors de la configuration par interface web).

Merci beaucoup pour votre aide et bonne journée à tous!

[Franck78]

Y a t'il une manipulation particulière à faire?

Salut,
tu aurais pu avant de détruire ton IPCop investiguer avec les outils fournis
-les logs pour commencer
-tcpdump
-iftop
...
Mais c'est trop tard et a part un adressage réseau foireu, (le proxy fonctionne, transparent ou non, c'est un fait établi), il y a peu d'autres erreurs possibles sur un IPCop neuf. Et pas de manip cachée. Juste cocher l'activation de squid, transparent ou non

[dumoulin]

L'IPCop que j'ai "détruit" était virtuel (sous vmware) de même que mon client et mon contrôleur.
Je teste tout de manière virtuelle avant de procéder à l'installation physique.
Celà pour m'eviter bien des bourdes!!!

Bonne journée à tous et à toutes

[jdh]

Attention à la virtualisation !


Je trouve très approprié de tester grâce à la virtualisation.
Mais attention à bien tenir compte de l'environnement apporté par la virtualisation !

Par exemple, VMware vient avec des switchs virtuels (l'un est connecté à une interface réseau, d'autre à l'hôte, ...), Xen vient avec des interfaces virtuelles "veth", OpenVz ajoute une route vers une fausse adresse interne, et ainsi de suite ...


Concernant la config, avec 850 postes, il n'y a pas de raison de ne pas dédier une machine au firewall et une machine à un proxy. Et rien n'interdit de s'inspirer des paramétrages de Squid et SquidGuard généré pas l'addons de Franck78 et urlfilter (puisque tout s'appuie sur Squid/SquidGuard me semble-t-il).

[only]

Attention à la virtualisation !


Je trouve très approprié de tester grâce à la virtualisation.
Mais attention à bien tenir compte de l'environnement apporté par la virtualisation !

Par exemple, VMware vient avec des switchs virtuels (l'un est connecté à une interface réseau, d'autre à l'hôte, ...), Xen vient avec des interfaces virtuelles "veth", OpenVz ajoute une route vers une fausse adresse interne, et ainsi de suite ...


Concernant la config, avec 850 postes, il n'y a pas de raison de ne pas dédier une machine au firewall et une machine à un proxy. Et rien n'interdit de s'inspirer des paramétrages de Squid et SquidGuard généré pas l'addons de Franck78 et urlfilter (puisque tout s'appuie sur Squid/SquidGuard me semble-t-il).

Bonjour,

Effectivement ...beaucoup de problèmes concernant la virtualisation avec VMWARE
Malgré des heures de manips ... je n'ai jamais réussi à avoir un IPCOP propre et fonctionnel sous VMW à cause des switchs virtuels

Ma question : Quelqu'un a-il réussi à faire fonctionner IPCOP 1.4.21 sous VMW ?

Dans l'affirmatif quels sont les contraintes ?

Bien à vous

[dsbsystem]

Bonjour à tous,

Voilà, c'est mon premier post sur ce forum car j'ai un souci avec IPCop.
Je suis en train d'en installer un pour une grosse structure de l'enseignement supérieur à Metz.
J'ai une installation de base (sans extensions) et dès que j'active le proxy (redirection vers le port 800) en mode transparent je n'ai plus internet par le biai de mon client de test!!!
Je peut pinger sans problème des sites tel que google.fr par exemple et d'après ce que j'ai compris par défaut (sans extensions) tout passe du vert vers le rouge.
Alors qu'est ce qui peut clôcher avec le proxy? dès que je le désactive tout revient à la normale!
Y a t'il une manipulation particulière à faire?


Et ce que quelqu'un a rencontré le même problème?

Merci d'avance pour votre aide

Bonsoir, habitant du coté de Metz, je me demande par curiosité quel type de machine et combien de Ram vous avez utilisé pour un tel réseau.

J'ai déjà monté Ipcop avec pas mal d'addons dont BOT pour 80 postes mais pour 850 ...

Bon tests !!