Bonjour,
Dans mon réseau local, je voudrai mettre un proxy IPCOP comme passerelle web que les postes clients utiliseraient pour se connecter à internet.
En amont, je dispose d'un pare-feu Pfsense. Voici mon archi :
internet =>FW Pfsense =>LAN (serveurs + PC clients)
Est-ce qu'il est possible d'installer un proxy IPCOP avec une seule carte GREEN ? Comment faire pour configurer la passerelle et les DNS de cette carte car lors de l'installation, si je choisis uniquement GREEN, ce n'est pas possible ?
merci
Proxy avec une seule carte GREEN ?
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
Proxy avec une seule carte GREEN ?
par bugalanoz » 01 Juin 2010 16:06
- bugalanoz
- Second Maître
- Messages: 27
- Inscrit le: 11 Jan 2005 13:18
- Localisation: Nantes
par ccnet » 01 Juin 2010 16:51
Une fois de plus :
1. Ipcop est avant tout un firewall.
2. Ipcop est conçu pour fonctionner avec au moins deux interfaces.
3. Si vous avez besoin d'un proxy, alors utilisez un proxy et non un firewall.
4. Pour monter un proxy : Debian (ou Ubuntu LTS 8), Squid et quelques addons. La documentation sur internet pour faire cela abonde. Si vous ne vous en sentez pas capable, ce qui arrive à tout le monde, alors il y a autre chose.
5. Autre chose c'est potentiellement Zeroshell qui est conçu pour ce type d'usage. Un proxy et son OS à partir d'un CD.
6. Zeroshell ne convient pas ? il faut que le proxy fase le café ? alors il va falloir mettre les mains dedans. Avec la doc disponible sur Internet c'est bien le diable si vous n'y parvenez pas.
Un tournevis n'est pas pratique pour planter des clous. Un marteau est fait pour cela.
1. Ipcop est avant tout un firewall.
2. Ipcop est conçu pour fonctionner avec au moins deux interfaces.
3. Si vous avez besoin d'un proxy, alors utilisez un proxy et non un firewall.
4. Pour monter un proxy : Debian (ou Ubuntu LTS 8), Squid et quelques addons. La documentation sur internet pour faire cela abonde. Si vous ne vous en sentez pas capable, ce qui arrive à tout le monde, alors il y a autre chose.
5. Autre chose c'est potentiellement Zeroshell qui est conçu pour ce type d'usage. Un proxy et son OS à partir d'un CD.
6. Zeroshell ne convient pas ? il faut que le proxy fase le café ? alors il va falloir mettre les mains dedans. Avec la doc disponible sur Internet c'est bien le diable si vous n'y parvenez pas.
Un tournevis n'est pas pratique pour planter des clous. Un marteau est fait pour cela.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par bugalanoz » 01 Juin 2010 21:18
pas la peine de s'énerver !
pourquoi dans ce cas, IPCOP, comme d'autres distributions, propose-t-il un tas d'addons supplémentaire à la fonction de firewall ? je ne comprends pas l'intérêt d'en proposer si ce n'est pas pour les utiliser.
pourquoi dans ce cas, IPCOP, comme d'autres distributions, propose-t-il un tas d'addons supplémentaire à la fonction de firewall ? je ne comprends pas l'intérêt d'en proposer si ce n'est pas pour les utiliser.
- bugalanoz
- Second Maître
- Messages: 27
- Inscrit le: 11 Jan 2005 13:18
- Localisation: Nantes
par jdh » 01 Juin 2010 21:37
C'est un peu lassant de répéter toujours les mêmes choses ! Et en plus, quand on les lit cela semble tellement évident !
Un firewall doit faire un travail de routage et de filtrage au niveau ip (paquet ip).
Un proxy fait un travail applicatif, pour 1,2 ou 3 protocoles, avec une vérification protocolaire d'abord, puis une recherche en cache en mémoire et sur disque, et enfin soit effectue la demande soit envoie ce qui est en cache. S'ajoute à cela, les logs, les traitements de blacklist/whitelist, mot clé, ..., et éventuellement l'authentification (voire une analyse antivirale ...).
Les besoins matériels sont clairement très différents comme, par exemple, le temps de traitement induit.
Si, il y a plus de 10 utilisateurs, il convient d'avoir une machine dédiée pour le proxy.
Et on pourrait continuer sur d'autres protocoles ...
Conclusion incidente : ce n'est pas parce l'addons existe pour un firewall qu'il faut l'utiliser ! Non il ne faut pas !
Un firewall doit faire un travail de routage et de filtrage au niveau ip (paquet ip).
Un proxy fait un travail applicatif, pour 1,2 ou 3 protocoles, avec une vérification protocolaire d'abord, puis une recherche en cache en mémoire et sur disque, et enfin soit effectue la demande soit envoie ce qui est en cache. S'ajoute à cela, les logs, les traitements de blacklist/whitelist, mot clé, ..., et éventuellement l'authentification (voire une analyse antivirale ...).
Les besoins matériels sont clairement très différents comme, par exemple, le temps de traitement induit.
Si, il y a plus de 10 utilisateurs, il convient d'avoir une machine dédiée pour le proxy.
Et on pourrait continuer sur d'autres protocoles ...
Conclusion incidente : ce n'est pas parce l'addons existe pour un firewall qu'il faut l'utiliser ! Non il ne faut pas !
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 01 Juin 2010 21:53
bugalanoz a écrit:pas la peine de s'énerver !
Pas d'énervement.
pourquoi dans ce cas, IPCOP, comme d'autres distributions, propose-t-il un tas d'addons supplémentaire à la fonction de firewall ? je ne comprends pas l'intérêt d'en proposer si ce n'est pas pour les utiliser.
Moi non plus je ne comprend pas.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par gemoussier » 01 Juin 2010 22:08
Bonsoir,
D'un coté vous utilisez Pfsense, ce qui prouve qu'il y a eu un moment une réflexion sur le choix du firewall. Je suppose alors qu'il y a eu une réflexion sur le choix du proxy. Et, pour ma part, je me demande comment vous êtes arrivés à un "proxy IPCop". Effectivement il propose un service proxy mais en complément du firewall.
Il ne faut pas blâmer IPCop, je pense qu'il est pensé pour pouvoir être utilisé pour une utilisation tout-en-un sur une seule machine, et pour ceux qui n'ont pas forcément les moyens ni le compétences d'administrer X serveurs. Le fait qu'il propose un proxy (entre autre) ne me choque pas dans ce cas d'utilisation même si ce n'est pas l'idéal. Disons que c'est (bien) mieux que la YBox (Y pour pas confondre avec la console du même nom, et pour refléter mes origines auvergnates).
Bref, quitte à installer une nouvelle machine autant faire les choses biens et simples, non ?
Et je trouve le message de Franck tout à fait approprié, il faut bien faire vivre les sociétés qui installent du libre. J'ai récemment eu le cas d'une entreprise qui était obligée de faire de la sous-traitance technique pour un grand opérateur adsl car son activité principale ne lui permet pas de survivre. C'est un peu dommage.
D'un coté vous utilisez Pfsense, ce qui prouve qu'il y a eu un moment une réflexion sur le choix du firewall. Je suppose alors qu'il y a eu une réflexion sur le choix du proxy. Et, pour ma part, je me demande comment vous êtes arrivés à un "proxy IPCop". Effectivement il propose un service proxy mais en complément du firewall.
Il ne faut pas blâmer IPCop, je pense qu'il est pensé pour pouvoir être utilisé pour une utilisation tout-en-un sur une seule machine, et pour ceux qui n'ont pas forcément les moyens ni le compétences d'administrer X serveurs. Le fait qu'il propose un proxy (entre autre) ne me choque pas dans ce cas d'utilisation même si ce n'est pas l'idéal. Disons que c'est (bien) mieux que la YBox (Y pour pas confondre avec la console du même nom, et pour refléter mes origines auvergnates).
Bref, quitte à installer une nouvelle machine autant faire les choses biens et simples, non ?
Et je trouve le message de Franck tout à fait approprié, il faut bien faire vivre les sociétés qui installent du libre. J'ai récemment eu le cas d'une entreprise qui était obligée de faire de la sous-traitance technique pour un grand opérateur adsl car son activité principale ne lui permet pas de survivre. C'est un peu dommage.
- gemoussier
- Lieutenant de vaisseau
- Messages: 233
- Inscrit le: 08 Avr 2008 16:42
par Franck78 » 02 Juin 2010 00:14
Est-ce qu'il est possible d'installer un proxy IPCOP avec une seule carte GREEN ?
oui. On peut. Suffit de dire que RED est une carte réseau classique NON DHCP. Renseigner une IP RED cohérente avec le GREEN (normal); et mettre des IP du réseau green pour passerelle et dns.
Mais bon c'est à faire si on veut trouver un ensemble plutôt cohérent comme SQUID+SQUIDGUARD+LOGGING+GRAPH+UN_GUI et pas 'simplement squid tout seul'.
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par bugalanoz » 03 Juin 2010 21:49
Vos messages m'ont permis d'y voir plus clair. Je vais m'orienté certainement vers une distri linux avec SQUID ou bien un autre produit purement proxy.
Merci encore pour vos réponses.
Merci encore pour vos réponses.
- bugalanoz
- Second Maître
- Messages: 27
- Inscrit le: 11 Jan 2005 13:18
- Localisation: Nantes
9 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité