Probléme accer web a l'activation du proxy.

[triseaux]

Bonjour a toutes et a tous.
Deja avant toutes chose merci de rpendre du temp pour me lire et peutaitre m'apporter votre aide.

Mon probléme est que des que j'active le proxy en mode transparent sur le green plus aucune station n'a d'accer web.

Mon réseaux : 100 machine
Livebox buissness |192.168.1.1| <->(red) |192.168.1.11| ipcop (Green) |192.168.0.1| <-> Concentrateur reseaux alcatel <-> d'autre switch et lien <-> station |192.168.0.X|

Les dns ne sont pas ceux utiliser par orange mais oleane ( 194.2.0.20 et 194.2.0.50 )

Ipcop est installer avec blockouttrafic + sur le proxy urlfilter.

Services:
RPV Arrêté
Serveur CRON En fonction 1808 kB
Serveur DHCP En fonction 2692 kB
Serveur DNS mandataire (proxy DNS) En fonction 1696 kB
Serveur NTP En fonction 3560 kB
Serveur Web En fonction 5064 kB
Serveur d'accès à distance sécurisé (SSH) En fonction 3416 kB
Serveur d'enregistrement de journaux En fonction 1604 kB
Serveur d'enregistrement des journaux du noyau En fonction 2032 kB
Serveur mandataire (proxy) Arrêté
Système de détection d'intrusions (GREEN) Arrêté
Système de détection d'intrusions (RED) Arrêté

Mémoire:
Taille Utilisé Libre Pourcentage
Mémoire 515868 63816 452052
12%
-/+ tampon/cache 25064 490804
4%
Echange 32764 0 32764
0%
Partagé 0
Mémoire cache 7372
En cache 31380

Utilisation du disque:
Périphérique Monté sur Taille Utilisé Libre Pourcentage
/dev/root / 4720M 406M 4266M
9%
/dev/harddisk1 /boot 10M 4M 7M
39%
/dev/harddisk2 /var/log 14064M 218M 13133M
2%

Utilisation des inodes:
Périphérique Monté sur Inodes Utilisé Libre Pourcentage
/dev/root / 307040 5457 301583
2%
/dev/harddisk1 /boot 2656 36 2620
2%
/dev/harddisk2 /var/log 915712 4197 911515
1%

CONF :
GREEN
eth0 Link encap:Ethernet HWaddr 00:10:DC:F4:E6:1E
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:202294 errors:0 dropped:0 overruns:0 frame:0
TX packets:299465 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:29057915 (27.7 MB) TX bytes:207487724 (197.8 MB)
Interrupt:11
RED
eth1 Link encap:Ethernet HWaddr 00:50:FC:95:D4:EB
inet addr:192.168.1.11 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:190086 errors:0 dropped:0 overruns:0 frame:0
TX packets:156131 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:192939698 (184.0 MB) TX bytes:23862485 (22.7 MB)
Interrupt:10 Base address:0x3f00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:118 errors:0 dropped:0 overruns:0 frame:0
TX packets:118 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:11393 (11.1 KB) TX bytes:11393 (11.1 KB)

Mes regle de firwall :
Green Any >> Red Any : squid
Green Any >> IPCop : squid
Green Any >> Red Any : Basic

La regle Basic =
https Préréglage
domain Préréglage
ntp Préréglage
smtp Préréglage
pop2 Préréglage
pop3 Préréglage
Accé secu Spécifique
imap Préréglage
smtps Préréglage

Mon proxy est régler sur le port : 3128 (squid)

Voila, quelqun peut m'aider ?

[ccnet]

Des infos précises, c'est bien. Ce n'est pas si fréquent, c'est le moins que l'on puisse dire.

Quelle erreur sur le navigateur lorsque le proxy est actif ?
Pour les tests, dans un premier temps, si vous stoppez BOT, que se passe t il ? Les logs ipcop doivent aussi permettre de déterminer si vous avez ou non un problème avec les règles de filtrage.

Enfin, le plus important peut être pour le moyen terme, cette configuration (proxy sur le firewall) avec une centaine d'utilisateurs n'est pas très raisonnable, ni très sûr. Avez vous considéré de monter un vrai proxy ?
C'est assez simple surtout sans gestion de l'authentification.

[triseaux]

Merci de repondre si vite.

Pour vous expliquez la situation, je suis une boite externe qui intervien sur un reseaux de société pour un contrat de maintenance pacer cette année. Je prend le train en cour. Nous avons eu des probléme de piratage et de flood sur le reseaux, l'ipcop qui n'était pas a jour a secomber. J'ai donc refait l'ipcop. Il n'est aps question pour eux de changer la conf actuele ou de rajouter une autre machine. (j'avait bien pencer a racheter 2 serveur plus puissante pour en fair un FW et l'autre poxy ... mais non)

Je n'est aucun message. Simplement le navigateur me dit que la page n'est pas accecible. Je n'est que tres succintement couper bot ce matin pour voir justement si avec le proxy cela fonctionnerais mais je n'est pas eu l'impretion. Je ne peut fair de modif qui coupe la connexion que tres rapidement car il on besoin de la connexion en kazi-permanence.


Je vais eseillé de reactiver le proxy et de voir si un port serais bloquer par le bot mais je n'est rien vue qui m'est attirer l'oeuil ce matin comme apr exemple le blocage du port du proxy ou autre si ces ce que vous aviez en tete.

Quelques autre ider sur des choses a vérifier en meme temp ?

[ccnet]

A tout hasard sur un navigateur, renseigner l'existence du proxy avec l'ip verte d'ipcop et le port 3128.

L'architecture en place est insuffisante relativement à la taille de l'entreprise. Ils auront immanquablement d'autres problèmes. J'imagine qu'ils ont une messagerie et sans doute d'autres services ...

[triseaux]

Bon au final jai reussi a degoter une machine plus puissante et plus réssente jvai re-installer demain voir si sa résou mes probs.

Pour le resegnement du proxy dans un navigateur j'ai eseiller sa ne change rien. je vous tien au ju.

Encor merci

[Franck78]

@triseaux,
$%#&! mais tu as appris ou à écrire? Un peu de respect pour les lecteurs, merde_!

C'est quoi cette lubie de mettre une machine puissante (serveur) pour IPCop?????? Même un P3/1000 tu peux pas le mettre à genoux avec un xDSL!

[triseaux]

Dsl pour l'ecriture j'ai un pti probleme de dislexie.

La machine ou est actuelement l"ipcop a plus de 6 ans et présente a mon gou des signes de faiblesse.
De plus si je veu pouvoir activer snort etc etc les 512 de ram actuel avec le nombre de poste connecter est trop juste.
Pour finir le reseaux est cat6 capable donc ce ne pora etre que mieu avec un carte Gb plustot que avec une fast 100.

ps : une station n'est pas fait pour etre serveur que ce soit pour du serveur2008 ou un ipcop, les composants ne sont pas fait pour. Je ne parle pas forcement d"un serveur a 10 000 euro mais un serveur point final

[ccnet]

@triseaux,
$%#&! mais tu as appris ou à écrire? Un peu de respect pour les lecteur, merde_!

C'est quoi cette lubie de mettre une machine puissante (serveur) pour IPCop?????? Même un P3/1000 tu peux pas le mettre à genoux avec un xDSL!

Pour tout, je confirme.

[Stirner]

Salut,

[mode HS]

PS: une station n'est pas fait pour être serveur que ce soit pour du serveur2008 ou un ipcop, les composants ne sont pas fait pour. Je ne parle pas forcement d"un serveur a 10 000 euro mais un serveur point final

Qu'elle la différence entre un serveur et une station de travail ? Ça sort d'où ce discours ? J'ai connu des serveurs qui n'ont pas tenu 6 mois et des stations de travail qui ont encaissé des année de calcul sans brochées. Ce qui défini le nom d'une machine c'est la fonction qu'on lui attribu et non pas les composants qui on servis à l'assembler. [/mode HS]

[jdh]

On écrit "dyslexie" ! Il est essentiel que vous fassiez un effort sur l'orthographe : c'est extrêmement désagréable à lire ! Et je ne parle même pas du point de vue professionnel : les fautes d'orthographes sont rédhibitoires ! Il suffit, pour commencer, de prendre plus de temps pour écrire : c'est toujours bénéfique de prendre du temps !


Je confirme : un PIII/1000 avec 512M c'est tout à fait suffisant pour Ipcop + BOT (évidemment) avec une SDSL 8M.

MAIS ce n'est peut-être pas suffisant pour Squid pour 100 utilisateurs. Parce que ce qui compte avec Squid, c'est d'avoir la taille mémoire vive en accord avec la taille de cache choisie et déterminée en fonction du nombre d'utilisateurs et du type de navigation.

Les petits malins qui se jettent sur la taille de cache de Squid (200M par défaut ?) font une GRAVE erreur car ils ne connaissent pas le besoin mémoire de Squid.

[triseaux]

Re bonjour, bon au final la reinstallation sur une machine serveur a résolu mes probléme, merci du coup de pate. Surment un manque de memoire ou la sation qui commancer a etre vielle.

Un serveur va avoir par exemple un systeme de raid scsi ou sas, des doubles pross, des cartes reseaux avec une memoire cache plus important, de la ram low latence ... j'en pace est des meilleurs.

[Mister-Magoo]

ouaip super matos, mais IPCop reste avec un kernel 2.4.... Pas top pour la mise en place sur le RAID, et la RAM low latency ..... je suis dubitatif ...

Le mien tourne sur un boitier appliance pour firewall (genre Soekris mais en mieux ), avec le proxy... Certes, il y a une quinzaine de stations, mais il tourne sans problème et sans que le processeur soit à genoux ....

Enfin, c'est mon avis ....

[jdh]

Pour aiguiser la réflexion (pour la pratique chacun fait ce qui lui plait), je note

- les concepteurs d'ipcop (et de pfsense ?) n'ont pas prévu la config en raid (au contraire de Sme),
- le noyau de base d'ipcop est ancien, d'où difficulté avec des hardware récents,
- le filtrage se fait en mémoire tandis que le log se fait sur disque (et ne contient pas tout paquet !)

Bref, je comprends tout à fait que le raid ne soit pas du tout le problème d'une distrib orienté firewall.

Ce qui compte vraiment pour un firewall, c'est le(s) fichier(s) de backup de config pour réinstaller sur un hardware neuf, mais certainement pas 2 disques raid.

Ce qui compte vraiment pour un firewall, c'est la possibilité de faire un cluster.

Les produits "clés en main" de Sonicwall, Watchguard, Netasq, Arkoon, Nokia, Checkpoint, Cisco ne me semblent pas basés sur des hardware type serveur mais plutôt sur de l'embarqué pour les moins puissants. Je plussoie Mister-Magoo pour de l'embarqué type Alix ou autres pour des config raisonnables (jqa 150-200 pc en fonction firewall + vpn seul = pas de proxy).

Un besoin raid, un besoin ups, un besoin rack serveur ne sont pas liés à la fonction firewall mais plutôt à un souhait d'homogénisation de salle info.


NB : la place d'un proxy n'est pas d'être un firewall mais peut être efficacement installé sur un serveur rackable et tout (et, cela va sans dire, sans raid pour l'espace destiné au cache).

[triseaux]

Alors je suis tout a fait daccord avec vous.
Mais la avec des serveurs ibm sa tourne nikel, ibm developpant ces system pour des bases unix la compatibiliter est exemplaire, raid detecter sans probleme, les cartes gb aussi et meme mon lecteur dat ....

Pour ma par je préfer sur un serveur pour la possibiliter de changement a chaud de disque, pross, alim etc.
Mais je vous avou que j'aurer eu un boitier special firewall dispo j'aurere surment installer dessu.

Que ce soit pour du FW ou du Serveur en general ces machines dedier on normalement des composants qui on un % de pane largement plus faible que pour une station.
Apres il est vrait que dans les faits ce n'est pas forcement averer mais bon.

Jesper que je vous est fait comprendre mon point de vue sans pour autant avoir était désagréable ou offenssant ce n'étais pas mon but.

Je vous remerci encor tous pour votre coup de main, et je serais ravis de pouvoir aider quelqun si il en a besoin.