Probléme accer web a l'activation du proxy.

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Probléme accer web a l'activation du proxy.

Messagepar triseaux » 24 Nov 2009 12:23

Bonjour a toutes et a tous.
Deja avant toutes chose merci de rpendre du temp pour me lire et peutaitre m'apporter votre aide.

Mon probléme est que des que j'active le proxy en mode transparent sur le green plus aucune station n'a d'accer web.

Mon réseaux : 100 machine
Livebox buissness |192.168.1.1| <->(red) |192.168.1.11| ipcop (Green) |192.168.0.1| <-> Concentrateur reseaux alcatel <-> d'autre switch et lien <-> station |192.168.0.X|

Les dns ne sont pas ceux utiliser par orange mais oleane ( 194.2.0.20 et 194.2.0.50 )

Ipcop est installer avec blockouttrafic + sur le proxy urlfilter.

Services:
RPV Arrêté
Serveur CRON En fonction 1808 kB
Serveur DHCP En fonction 2692 kB
Serveur DNS mandataire (proxy DNS) En fonction 1696 kB
Serveur NTP En fonction 3560 kB
Serveur Web En fonction 5064 kB
Serveur d'accès à distance sécurisé (SSH) En fonction 3416 kB
Serveur d'enregistrement de journaux En fonction 1604 kB
Serveur d'enregistrement des journaux du noyau En fonction 2032 kB
Serveur mandataire (proxy) Arrêté
Système de détection d'intrusions (GREEN) Arrêté
Système de détection d'intrusions (RED) Arrêté

Mémoire:
Taille Utilisé Libre Pourcentage
Mémoire 515868 63816 452052
12%
-/+ tampon/cache 25064 490804
4%
Echange 32764 0 32764
0%
Partagé 0
Mémoire cache 7372
En cache 31380

Utilisation du disque:
Périphérique Monté sur Taille Utilisé Libre Pourcentage
/dev/root / 4720M 406M 4266M
9%
/dev/harddisk1 /boot 10M 4M 7M
39%
/dev/harddisk2 /var/log 14064M 218M 13133M
2%

Utilisation des inodes:
Périphérique Monté sur Inodes Utilisé Libre Pourcentage
/dev/root / 307040 5457 301583
2%
/dev/harddisk1 /boot 2656 36 2620
2%
/dev/harddisk2 /var/log 915712 4197 911515
1%

CONF :
GREEN
eth0 Link encap:Ethernet HWaddr 00:10:DC:F4:E6:1E
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:202294 errors:0 dropped:0 overruns:0 frame:0
TX packets:299465 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:29057915 (27.7 MB) TX bytes:207487724 (197.8 MB)
Interrupt:11
RED
eth1 Link encap:Ethernet HWaddr 00:50:FC:95:D4:EB
inet addr:192.168.1.11 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:190086 errors:0 dropped:0 overruns:0 frame:0
TX packets:156131 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:192939698 (184.0 MB) TX bytes:23862485 (22.7 MB)
Interrupt:10 Base address:0x3f00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:118 errors:0 dropped:0 overruns:0 frame:0
TX packets:118 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:11393 (11.1 KB) TX bytes:11393 (11.1 KB)

Mes regle de firwall :
Green Any >> Red Any : squid
Green Any >> IPCop : squid
Green Any >> Red Any : Basic

La regle Basic =
https Préréglage
domain Préréglage
ntp Préréglage
smtp Préréglage
pop2 Préréglage
pop3 Préréglage
Accé secu Spécifique
imap Préréglage
smtps Préréglage

Mon proxy est régler sur le port : 3128 (squid)

Voila, quelqun peut m'aider ?
triseaux
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 24 Nov 2009 12:09

Messagepar ccnet » 24 Nov 2009 12:39

Des infos précises, c'est bien. Ce n'est pas si fréquent, c'est le moins que l'on puisse dire.

Quelle erreur sur le navigateur lorsque le proxy est actif ?
Pour les tests, dans un premier temps, si vous stoppez BOT, que se passe t il ? Les logs ipcop doivent aussi permettre de déterminer si vous avez ou non un problème avec les règles de filtrage.

Enfin, le plus important peut être pour le moyen terme, cette configuration (proxy sur le firewall) avec une centaine d'utilisateurs n'est pas très raisonnable, ni très sûr. Avez vous considéré de monter un vrai proxy ?
C'est assez simple surtout sans gestion de l'authentification.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

merci

Messagepar triseaux » 24 Nov 2009 14:47

Merci de repondre si vite.

Pour vous expliquez la situation, je suis une boite externe qui intervien sur un reseaux de société pour un contrat de maintenance pacer cette année. Je prend le train en cour. Nous avons eu des probléme de piratage et de flood sur le reseaux, l'ipcop qui n'était pas a jour a secomber. J'ai donc refait l'ipcop. Il n'est aps question pour eux de changer la conf actuele ou de rajouter une autre machine. (j'avait bien pencer a racheter 2 serveur plus puissante pour en fair un FW et l'autre poxy ... mais non)

Je n'est aucun message. Simplement le navigateur me dit que la page n'est pas accecible. Je n'est que tres succintement couper bot ce matin pour voir justement si avec le proxy cela fonctionnerais mais je n'est pas eu l'impretion. Je ne peut fair de modif qui coupe la connexion que tres rapidement car il on besoin de la connexion en kazi-permanence.


Je vais eseillé de reactiver le proxy et de voir si un port serais bloquer par le bot mais je n'est rien vue qui m'est attirer l'oeuil ce matin comme apr exemple le blocage du port du proxy ou autre si ces ce que vous aviez en tete.

Quelques autre ider sur des choses a vérifier en meme temp ?
triseaux
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 24 Nov 2009 12:09

Messagepar ccnet » 24 Nov 2009 15:06

A tout hasard sur un navigateur, renseigner l'existence du proxy avec l'ip verte d'ipcop et le port 3128.

L'architecture en place est insuffisante relativement à la taille de l'entreprise. Ils auront immanquablement d'autres problèmes. J'imagine qu'ils ont une messagerie et sans doute d'autres services ...
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

alors

Messagepar triseaux » 24 Nov 2009 20:34

Bon au final jai reussi a degoter une machine plus puissante et plus réssente jvai re-installer demain voir si sa résou mes probs.

Pour le resegnement du proxy dans un navigateur j'ai eseiller sa ne change rien. je vous tien au ju.

Encor merci
triseaux
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 24 Nov 2009 12:09

Messagepar Franck78 » 24 Nov 2009 22:56

@triseaux,
$%#&! mais tu as appris ou à écrire? Un peu de respect pour les lecteurs, merde_!

C'est quoi cette lubie de mettre une machine puissante (serveur) pour IPCop?????? Même un P3/1000 tu peux pas le mettre à genoux avec un xDSL!
Dernière édition par Franck78 le 25 Nov 2009 21:09, édité 1 fois au total.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar triseaux » 25 Nov 2009 00:04

Dsl pour l'ecriture j'ai un pti probleme de dislexie.

La machine ou est actuelement l"ipcop a plus de 6 ans et présente a mon gou des signes de faiblesse.
De plus si je veu pouvoir activer snort etc etc les 512 de ram actuel avec le nombre de poste connecter est trop juste.
Pour finir le reseaux est cat6 capable donc ce ne pora etre que mieu avec un carte Gb plustot que avec une fast 100.

ps : une station n'est pas fait pour etre serveur que ce soit pour du serveur2008 ou un ipcop, les composants ne sont pas fait pour. Je ne parle pas forcement d"un serveur a 10 000 euro mais un serveur point final
triseaux
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 24 Nov 2009 12:09

Messagepar ccnet » 25 Nov 2009 01:17

Franck78 a écrit:@triseaux,
$%#&! mais tu as appris ou à écrire? Un peu de respect pour les lecteur, merde_!

C'est quoi cette lubie de mettre une machine puissante (serveur) pour IPCop?????? Même un P3/1000 tu peux pas le mettre à genoux avec un xDSL!


Pour tout, je confirme.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Stirner » 25 Nov 2009 05:25

Salut,

[mode HS]

PS: une station n'est pas fait pour être serveur que ce soit pour du serveur2008 ou un ipcop, les composants ne sont pas fait pour. Je ne parle pas forcement d"un serveur a 10 000 euro mais un serveur point final


Qu'elle la différence entre un serveur et une station de travail ? Ça sort d'où ce discours ? J'ai connu des serveurs qui n'ont pas tenu 6 mois et des stations de travail qui ont encaissé des année de calcul sans brochées. Ce qui défini le nom d'une machine c'est la fonction qu'on lui attribu et non pas les composants qui on servis à l'assembler. [/mode HS]
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar jdh » 25 Nov 2009 08:20

On écrit "dyslexie" ! Il est essentiel que vous fassiez un effort sur l'orthographe : c'est extrêmement désagréable à lire ! Et je ne parle même pas du point de vue professionnel : les fautes d'orthographes sont rédhibitoires ! Il suffit, pour commencer, de prendre plus de temps pour écrire : c'est toujours bénéfique de prendre du temps !


Je confirme : un PIII/1000 avec 512M c'est tout à fait suffisant pour Ipcop + BOT (évidemment) avec une SDSL 8M.

MAIS ce n'est peut-être pas suffisant pour Squid pour 100 utilisateurs. Parce que ce qui compte avec Squid, c'est d'avoir la taille mémoire vive en accord avec la taille de cache choisie et déterminée en fonction du nombre d'utilisateurs et du type de navigation.

Les petits malins qui se jettent sur la taille de cache de Squid (200M par défaut ?) font une GRAVE erreur car ils ne connaissent pas le besoin mémoire de Squid.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar triseaux » 25 Nov 2009 13:42

Re bonjour, bon au final la reinstallation sur une machine serveur a résolu mes probléme, merci du coup de pate. Surment un manque de memoire ou la sation qui commancer a etre vielle.

Un serveur va avoir par exemple un systeme de raid scsi ou sas, des doubles pross, des cartes reseaux avec une memoire cache plus important, de la ram low latence ... j'en pace est des meilleurs.
triseaux
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 24 Nov 2009 12:09

Messagepar Mister-Magoo » 25 Nov 2009 15:40

ouaip super matos, mais IPCop reste avec un kernel 2.4.... Pas top pour la mise en place sur le RAID, et la RAM low latency ..... je suis dubitatif ...

Le mien tourne sur un boitier appliance pour firewall (genre Soekris mais en mieux :lol: ), avec le proxy... Certes, il y a une quinzaine de stations, mais il tourne sans problème et sans que le processeur soit à genoux ....

Enfin, c'est mon avis .... 8)
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Messagepar jdh » 25 Nov 2009 16:46

Pour aiguiser la réflexion (pour la pratique chacun fait ce qui lui plait), je note

- les concepteurs d'ipcop (et de pfsense ?) n'ont pas prévu la config en raid (au contraire de Sme),
- le noyau de base d'ipcop est ancien, d'où difficulté avec des hardware récents,
- le filtrage se fait en mémoire tandis que le log se fait sur disque (et ne contient pas tout paquet !)

Bref, je comprends tout à fait que le raid ne soit pas du tout le problème d'une distrib orienté firewall.

Ce qui compte vraiment pour un firewall, c'est le(s) fichier(s) de backup de config pour réinstaller sur un hardware neuf, mais certainement pas 2 disques raid.

Ce qui compte vraiment pour un firewall, c'est la possibilité de faire un cluster.

Les produits "clés en main" de Sonicwall, Watchguard, Netasq, Arkoon, Nokia, Checkpoint, Cisco ne me semblent pas basés sur des hardware type serveur mais plutôt sur de l'embarqué pour les moins puissants. Je plussoie Mister-Magoo pour de l'embarqué type Alix ou autres pour des config raisonnables (jqa 150-200 pc en fonction firewall + vpn seul = pas de proxy).

Un besoin raid, un besoin ups, un besoin rack serveur ne sont pas liés à la fonction firewall mais plutôt à un souhait d'homogénisation de salle info.


NB : la place d'un proxy n'est pas d'être un firewall mais peut être efficacement installé sur un serveur rackable et tout (et, cela va sans dire, sans raid pour l'espace destiné au cache).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar triseaux » 25 Nov 2009 20:40

Alors je suis tout a fait daccord avec vous.
Mais la avec des serveurs ibm sa tourne nikel, ibm developpant ces system pour des bases unix la compatibiliter est exemplaire, raid detecter sans probleme, les cartes gb aussi et meme mon lecteur dat ....

Pour ma par je préfer sur un serveur pour la possibiliter de changement a chaud de disque, pross, alim etc.
Mais je vous avou que j'aurer eu un boitier special firewall dispo j'aurere surment installer dessu.

Que ce soit pour du FW ou du Serveur en general ces machines dedier on normalement des composants qui on un % de pane largement plus faible que pour une station.
Apres il est vrait que dans les faits ce n'est pas forcement averer mais bon.

Jesper que je vous est fait comprendre mon point de vue sans pour autant avoir était désagréable ou offenssant ce n'étais pas mon but.

Je vous remerci encor tous pour votre coup de main, et je serais ravis de pouvoir aider quelqun si il en a besoin.
triseaux
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 24 Nov 2009 12:09


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron