utiliser fwbuilder pour configurer le FW

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

utiliser fwbuilder pour configurer le FW

Messagepar hot__harry » 05 Mai 2004 14:46

:cry:
hello all, je cherche a configurer le fw d'ipcop avec fwbuilder ou tout autre application permettant de le faire de facon graphique, soit directement sur la machine ipcop soit sur une autre machine ...
est il possible d'avoir une interface graphique et fwbuilder sur la machine ipcop ?
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar Boost » 05 Mai 2004 14:53

Ben à partir d'un autre PC, tu tapes dans ton navigateur Web
http://<ton_ip>:445

et voila, tu l'as ton interface graphique... :lol:

Chris
La Coccinelle, ce n'est pas une voiture, c'est un art de vivre !!!
http://www.flat4ever.com
Avatar de l’utilisateur
Boost
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 260
Inscrit le: 29 Oct 2003 01:00
Localisation: Entre Metz et Nancy, Lorraine

Messagepar hot__harry » 05 Mai 2004 16:13

oui effectivement mais en faisant ca tu n'as pas acces a des regle avancé du style
- de mon reseau local vers dehors rien de passe sauf web+ftp+mail et en plus je log tout
- de l'exterieur vers mon reseau local rien ne passe sauf ssh et en plus je log tout

etc

FWBUILDER permet de le faire
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar hot__harry » 05 Mai 2004 16:15

et j'ai oublié ....
je veux aussi faire du NAT
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar mstotor » 06 Mai 2004 02:10

Bonjour, perso j' utilise ipcop 1.3 (NAT ) et trois add-on trés utiles dans mon cas précis.

analyser les logs en temps réel, le temps du passage en production de serveurs exchange 2000 et 2003

j'ai dejà un routeur/adsl qui fait NAT vers internet, mais je le trouve peut pratique, assez limité et accés aux log uniquement par snmp

je souhaitais filtrer en sortie green vers red, et green vers orange, chaque PC, serveurs, par plage d' adresse, ou adresse IP unique, ou adresse MAC, ports authorisés sortant etc..( BlockOutTraffic)


plus les accés aux pages web (squidgard) qui est couplé au proxy transparent d' ipcop.

pour finir et avoir une visu rapide de iptables j' utilise (Ipstat)

BlockOutTraffic
Iptstat
squidgard

que tu trouveras içi
http://firewalladdons.sourceforge.net/utilities.html

voili voilà, je pense que celà reponds à ta question
à plus
totor
Avatar de l’utilisateur
mstotor
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 245
Inscrit le: 30 Avr 2003 00:00
Localisation: 2 ieme baobab à gauche

Messagepar hot__harry » 07 Mai 2004 20:44

merci, ca a l'air d'etre bien,
je l'ai installé comme ils disent de faire mais a un moment ils disent :

You have to set your MAC-address and https port in BlockOutTraffic-Settings, before you´re able to enable Mod

je ne vois aucun menu setting nul part. je suis en ipcop 1.4 beta 4. a moins qu'il faille le faire dans un fichier texte, mais lequel

n'arrivant pas a faire ca, je n'ai aucun nouveau menu

GUI is in Webadmin in section 'Services' v1.3.0 and section 'Firewall' v1.4.0.

NOTE:
- Befor enable BlockOutTraffic, you have to set your MAC Address & https-port under Settings
. for administration.

et voila le probleme
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar hot__harry » 07 Mai 2004 20:56

:arrow: autre question, le frichier d'install parle de mode de iptable

2. Different Modi:
---------------------------------------------------------------------------------------------------------------------------
Depent on which mode is activ, you can create rules
mode 0:
..for outside traffic
mode 1:
..for outside traffic and ipcop access
mode 2:
..for ipcop access

Depend on mode, iptables rules become created/access is blocked by default
mode 0:
. access from green lan to ipcop is open (like without this addon) if OAS is enabled same
. from orange lan. outside access (green+orange) is blocked by default.
. (build CUSTOMFORWARD rules)
mode 1:
. no ipcop access and no outside access. all is blocked by default.
. (build CUSTOMFORWARD + CUSTOMINPUT rules)
mode 2:
. outside is open (like without this addon), ipcop access is blocked.
. (build CUSTOMINPUT rules)

default block of ipcop access in mode 1+2 is reason why you have to enter admin mac and
HTTPS port.
on mode 0 admin mac + HTTPS port are not used.

access from orange to green is always blocked, green to orange only if OAS is enabled.

:arrow:
comment changer de mode ?
:?:
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar hot__harry » 07 Mai 2004 22:20

:roll:

apparemment blockoutsgoing ne fonctionne pas avec la beta3; je suis pass" en 1.3 fix 9 et la ca marche nickel
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar pkaer » 07 Mai 2004 22:54

Bonsoir,

Blockoutgoing fonctionne avec la beta3 (1.4.0b3). Il suffit juste de modifier un peu /var/ipcop/header.pl .

En fait il faut redescendre le paragraphe concernant Blockoutgoing après le 'blue access' en modifiant les fins de ligne hadoc ("," et "]") comme ci-contre :

i', "IPCop $tr{'port forwarding configuration'}" ],
[ $tr{'external access'} , '/cgi-bin/xtaccess.cgi', "IPCop $tr{'external access configuration'}" ],
[ $tr{'ssdmz pinholes'} , '/cgi-bin/dmzholes.cgi', "IPCop $tr{'dmz pinhole configuration'}" ],
[ $tr{'traffic shaping'} , '/cgi-bin/shaping.cgi', "IPCop $tr{'traffic shaping settings'}" ],
[ $tr{'blue access'} , '/cgi-bin/wireless.cgi', "IPCop $tr{'blue access'}" ],
#Added for BlockOutTraffic - BEGIN
[ $tr{'ssblock outgoing traffic'} , '/cgi-bin/fwrules.cgi', "IPCop $tr{'ssblock outgoing traffic'}" ]]
#Added for BlockOutTraffic - END

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar hot__harry » 07 Mai 2004 22:58

merci pour le tuyau !

aller, une derniere question pour la route

existe t'il un plugin qui fasse comme blockoutgoingtraffic

mais qui permette toujours avec une interface graphique d'authoriser des flux entrant.

comme si dans blockoutgoingtraffic on pouvait choisir dans source net l'interface rouge
et dans destination net on pouvait choisir la verte ou la orange

et foila
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar hot__harry » 07 Mai 2004 23:00

tout ca pour permettre de creeer facilement des flux entrant par exemple sur les ports 445 et 222 pour pouvoir administrer le bouzin a distance
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar pkaer » 07 Mai 2004 23:08

Moi pas comprendre...

je dois être fatigué.

Tu as le "transfert de port" pour rediriger tes flux entrants vers les adresses IP de tes zones quelles soient verte, orange ou bleue

Tu as l' "Acces externes" pour administrer ton Ipcop a distance en permettant les flux 222 et 445

Donc pas de pb
@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar hot__harry » 10 Mai 2004 18:20

alors je peux administrer IPCOP via l'interface WEB sur la patte RED depuis internet ?
je peux faire un SSH sur la patte RED depuis internet ?

je pensais qu'en cochant la case--- dans blockouttraffic, plus aucun flux entrant n'était autorisé
hot__harry
Matelot
Matelot
 
Messages: 10
Inscrit le: 05 Mai 2004 14:33

Messagepar popoch » 10 Mai 2004 20:12

en ce qui concerne firewall builder, il est evidemment impossible de l installer sur ipcop... mais rien ne t empeche de l installer sur une redhat !

tu pourras ainsi modifier le fichier rc.firewall.local pour ajouter tes propres regles, ou alors si tu te sens motiver reprendre integralement le firewall !

:D :D :D
:D :D :D


Cordialement popoch
Avatar de l’utilisateur
popoch
Vice-Amiral
Vice-Amiral
 
Messages: 582
Inscrit le: 05 Mars 2004 01:00
Localisation: Brest / Lannion / Rennes

Messagepar micjack » 10 Mai 2004 21:49

Firewall Builder est un super produit, mais faut encore comprendre comment un FW fonctionne.

Une bonne traduction en francais par un des membres d 'Ixus :wink:

--> http://www.ixus.net/pdf/Firewall%20Builder.pdf
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité