Validité des règles BOT

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Validité des règles BOT

Messagepar Franky05 » 27 Août 2010 15:15

Bonjour à tous,

Je viens chercher auprès de vous des conseils sur d'éventuelles erreurs que j'aurai pu commettre sur mes paramétrages BOT.

Objectif : autoriser le surf (protocoles http, (https) et ftp) de mes stations clientes se trouvant en zone green via mon proxy et uniquement lui se trouvant en zone orange.

Configurations serveurs :

- Firewall IPCop :
Version : 1.4.21
Mode : green + orange + red
Paramétrages IPs des différentes pattes : green = 192.168.1.2 ; orange = 192.168.2.2 ; red = 192.168.0.2
Addons installés : BOT

- Proxy filtrant SME Server :
Version : 7.5.1
Mode : serveur uniquement
Paramétrage IP : 192.168.2.3 (se situe en zone orange donc)
Configuration spécifique : réseau local supplémentaire = 192.168.1.0/255.255.255.0 via 192.168.2.2
Contribs installées : sme7admin ; Dansguardian ; Dungog-Dansguardian

Paramétrages BOT :

- Règle 1 :
Action : Accepter
Réseau Interface : Green
Source : Green Network
vers
Réseau Interface : Orange
Destination : 192.168.2.3 : Internet. Sous le terme Internet se cache un regroupement de réglages : le port 53 (domain), le port 443 (https) et le port 8080 (port du proxy SME)

- Règle 2 :
Action : Accepter
Réseau Interface : Orange
Source : 192.168.2.3
vers
Réseau Interface : Red
Destination : Any

Je suis un peu plus hésitant sur la règle 2. En virtuel à la maison j'obtiens l'objectif réseau voulu à savoir que les stations clientes de la zone green doivent impérativement passer par le proxy pour pouvoir surfer.

Je ne sais pas si j'ai été assez clair. J'attends maintenant vos remarques/critiques sur mes paramétrages BOT afin de les mettre en œuvre sur mon IPCop en production.

Cordialement.

Frank.
Dernière édition par Franky05 le 27 Août 2010 15:55, édité 1 fois au total.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Validité des règles BOT

Messagepar fleib » 27 Août 2010 15:24

Dans ton post, tu parles d'autoriser le protocole https, mais aucune regle n'y fait reference...

De plus, ta règle 2 parait un peu trop permissive.
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Re: Validité des règles BOT

Messagepar Franky05 » 27 Août 2010 15:57

Bonjour,

Rajouté..... :)

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Validité des règles BOT

Messagepar Franky05 » 27 Août 2010 18:58

fleib a écrit:De plus, ta règle 2 parait un peu trop permissive.


Tu affinerais comment ?

Par contre j'ai un problème que je viens de rencontrer, je ne m'en était pas aperçu avant.
Sur green, j'ai un serveur NAS (ip fixe) joignable par interface web sur le port 5000 et un contrôleur de domaine (ip fixe) joignable lui aussi par interface web sur le port 909. Depuis l'activation de BOT plus moyen d'arriver sur les interfaces d'administration depuis une station cliente se trouvant elle aussi sur green. J'ai tenté beaucoup (beaucoup !)de choses dans BOT pour pallier à ce problème mais échec. Je n'ai trouvé que la lamentable solution de dire à Firefox de ne pas utiliser le proxy pour ces deux IPs. Mon proxy se trouvant en zone orange, faut-il que je fasse une sorte de boucle pour le port à ouvrir : vert ---> orange et orange ---> vert ?

Si quelqu'un peu m'éclairer...

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Validité des règles BOT

Messagepar Mister-Magoo » 27 Août 2010 19:18

Dans le proxy (ou dans ton navigateur), tu indique de ne pas utiliser de proxy pour les IP de ton LAN ...
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Re: Validité des règles BOT

Messagepar Franky05 » 27 Août 2010 19:24

Bonjour,

Mister-Magoo a écrit:Dans le proxy (ou dans ton navigateur), tu indique de ne pas utiliser de proxy pour les IP de ton LAN ...


Regarde dans mon 3ème post, c'est ce que j'ai fait malheureusement....

Merci.

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Validité des règles BOT

Messagepar Mister-Magoo » 28 Août 2010 14:22

Oui et ... ça marche non ??
Comment veux-tu faire autrement ??
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Re: Validité des règles BOT

Messagepar fleib » 28 Août 2010 19:45

Franky05 a écrit:
fleib a écrit:De plus, ta règle 2 parait un peu trop permissive.


Tu affinerais comment ?


Je n'autoriserais pas "Any" comme destination mais seuleument les ports dont tu as besoin

Exemple: si tu n'as pas besoin d'utiliser SMTP, pourquoi autoriser ce serveur à communiquer sur le port 25?
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Re: Validité des règles BOT

Messagepar Franky05 » 29 Août 2010 19:07

Bonjour,

@ Mister-Magoo : oui bien sur ça marche et je ne vois pas comment faire autrement.

@ fleib : il n'y a que mon proxy en orange. Ce qui m'intéressait, était de filtrer les protocoles venant de la zone verte. J'ai tout autorisé de orange vers rouge car je ne connais pas exactement tous les protocoles utilisés par SME pour son bon fonctionnement. Corrige-moi si je me trompe mais tu parlais du SMTP mais si celui-ci n'est pas autorisé de vert à orange à fortiori il ne passe pas de vert à rouge via orange non ? Après qu'il passe de orange à rouge....comme je te l'ai dit je ne veux pas préjudicier au bon fonctionnement de mon proxy mais il est clair que je ne devrais autoriser que ce qui vient de la zone verte.

Il faut que je creuse beaucoup plus le sujet mais je commence à comprendre pourquoi certaines personnes martèlent en permanence que BOT est essentiel au bon fonctionnement d'un réseau sous IPCop. J'avoue que j'en "chie" vraiment depuis l'installation de cet addon, beaucoup de problèmes surgissent alors que je ne les avais pas prévus par manque de connaissances c'est évident.

Merci pour votre aide.

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: Validité des règles BOT

Messagepar fleib » 01 Sep 2010 14:05

Salut,

J'avais mentionné SMTP à titre d'exemple, mais on pourrait élargir...

Le but de BOT est bien de supprimer et d'éviter tout trafic sortant inutile, je te conseille donc de lister les ports/protocoles utilisés (et dont tu as besoin) sur ta SME et de n'autoriser que ceux ci en sortie.

Il est résultera pour ta machine une utilisation au plus juste de la bande passante et pour toi, une connaissance approfondie du sujet...

Bon courage
Il n'est pas de vent favorable pour celui qui ne sait pas où il va
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité