Salut!
Je m'explique. J'ai deux machines.
En ce moment j'ai un serveur sur une redhat (pdc +ftp) et une machine avec ipcop (green+orange+red) puis une freebox.
Je voudrais le max de sécurité. Il vaut mieux que je reste comme ca ou ke j'opte pr sme.
Merci
Ipcop ou sme
Modérateur: modos Ixus
12 messages
• Page 1 sur 1
Ipcop ou sme
par marmotton » 17 Nov 2004 22:00
-
marmotton - Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 25 Oct 2004 23:32
par Muzo » 17 Nov 2004 22:05
Salut,
Normalement pour un réseau bien sécurisé, tu n'as pas à a voir de serveur we , ftp et consorts sur ton firewall. Donc si tu as les machines et la place et que tu sais bien gérer ta red hat avec ses serveurs web, et ftp, il n'y a pas de raisons de changer.
Mais elle fait quoi ta red hat? C'est un serveur, pas une stations de trvail?
Normalement pour un réseau bien sécurisé, tu n'as pas à a voir de serveur we , ftp et consorts sur ton firewall. Donc si tu as les machines et la place et que tu sais bien gérer ta red hat avec ses serveurs web, et ftp, il n'y a pas de raisons de changer.
Mais elle fait quoi ta red hat? C'est un serveur, pas une stations de trvail?
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
-
Muzo - Amiral
- Messages: 5236
- Inscrit le: 07 Mai 2003 00:00
- Localisation: BNF! Je me culturise.
par marmotton » 17 Nov 2004 22:11
Salut
Ma redhat est un serveur PDC et serveur impression et ftp.
j'ai ipcop et elle est sur l'interface orange. Par contre depuis que j'ai installé ipcop imossible d'y accéder mais bon.
Donc je sais pas si ma config niveau sécurité (sans parlé du ftp et autre com) est bien ou si il faut mieux que je remplace ces deux machines par sme.
Merci
Ma redhat est un serveur PDC et serveur impression et ftp.
j'ai ipcop et elle est sur l'interface orange. Par contre depuis que j'ai installé ipcop imossible d'y accéder mais bon.
Donc je sais pas si ma config niveau sécurité (sans parlé du ftp et autre com) est bien ou si il faut mieux que je remplace ces deux machines par sme.
Merci
-
marmotton - Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 25 Oct 2004 23:32
par Muzo » 18 Nov 2004 09:50
Tout dépend de ce que tu cherches à faire.
Si tu est dans un contexte personnel, et que tu veux libérer une machine pour gagner de la place ou gagner en silence, une SME fait l'affaire.
Elle embarque en plus du firewall/routeur/proxy, un serveur http, ftp. Il fait du DHCP aussi. En ce qui concerne le serveur PDC, comme je ne sais pas ce que c'est, je dirais qu'elle ne le fait pas de base.
Si tu es dans un contexte professionnel, garde un ipcop en frontal et des serveur derrière dans l'interface que tu veux.
Maintenant, fait attention aussi au fait que SME ne gère qu'un LAN, à l'invers de Ipcop qui peut en gére plusieurs (zone vert, rouge, bleu, arc-en-ciel, ....). SME ne sais pas gérer plusieurs interface hors de l'externe et de l'interne.
Si tu est dans un contexte personnel, et que tu veux libérer une machine pour gagner de la place ou gagner en silence, une SME fait l'affaire.
Elle embarque en plus du firewall/routeur/proxy, un serveur http, ftp. Il fait du DHCP aussi. En ce qui concerne le serveur PDC, comme je ne sais pas ce que c'est, je dirais qu'elle ne le fait pas de base.
Si tu es dans un contexte professionnel, garde un ipcop en frontal et des serveur derrière dans l'interface que tu veux.
Maintenant, fait attention aussi au fait que SME ne gère qu'un LAN, à l'invers de Ipcop qui peut en gére plusieurs (zone vert, rouge, bleu, arc-en-ciel, ....). SME ne sais pas gérer plusieurs interface hors de l'externe et de l'interne.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
-
Muzo - Amiral
- Messages: 5236
- Inscrit le: 07 Mai 2003 00:00
- Localisation: BNF! Je me culturise.
par Mael » 18 Nov 2004 12:38
Salut vous deux,
la fonction PDC, primary domain controler, est bien implémentée sur SME, c'est juste l'option
"Contrôleur de groupe de travail et de domaine" dans "Groupe de travail".
Par contre par défaut sur SME Samba en est à la version 2.2.8 je crois, mais il est possible de mettre à jour
vers Samba 3.x
La sécurité vient du suivi des mises à jour, et là-dessus SME pèche un peu par rapport à une RedHat classique. A toi de te débrouiller pour avoir un système up-to-date.
Le gros avantage de la SME, en plus de ne nécessiter qu'une seule machine, c'est que la plupart des fonctions importantes sont configurables (et préconfigurées) par le server-manager, et que ce qui n'existe pas se trouve génèralement sous forme de contributions additionelles crées par la communauté d'utilisateurs.
Mais comme l'a dit Muzo, tu ne retrouveras pas certaines options dans SME que tu as avec IPCOP + RedHat.
Accéder à quoi depuis où ?
Mael
En ce qui concerne le serveur PDC, comme je ne sais pas ce que c'est, je dirais qu'elle ne le fait pas de base.
la fonction PDC, primary domain controler, est bien implémentée sur SME, c'est juste l'option
"Contrôleur de groupe de travail et de domaine" dans "Groupe de travail".
Par contre par défaut sur SME Samba en est à la version 2.2.8 je crois, mais il est possible de mettre à jour
vers Samba 3.x
La sécurité vient du suivi des mises à jour, et là-dessus SME pèche un peu par rapport à une RedHat classique. A toi de te débrouiller pour avoir un système up-to-date.
Le gros avantage de la SME, en plus de ne nécessiter qu'une seule machine, c'est que la plupart des fonctions importantes sont configurables (et préconfigurées) par le server-manager, et que ce qui n'existe pas se trouve génèralement sous forme de contributions additionelles crées par la communauté d'utilisateurs.
Mais comme l'a dit Muzo, tu ne retrouveras pas certaines options dans SME que tu as avec IPCOP + RedHat.
Par contre depuis que j'ai installé ipcop imossible d'y accéder mais bon.
Accéder à quoi depuis où ?
Mael
-
Mael - Capitaine de vaisseau
- Messages: 312
- Inscrit le: 12 Oct 2002 00:00
- Localisation: France
par marmotton » 18 Nov 2004 19:23
En fait mon serveur ftp et web est sur l'interface orange.
IP de l'interferface orange: 192.168.2.1 / 255.255.255.0
IP du serveur: 192.168.2.2 / 255.255.255.0
Mon green 192.168.0.1 / 255.255.255.0
J'arrvie depuis le green a pinger sur le 192.168.2.1 mais pas sur le 192.168.2.2
Donc je n'arrive pas a accéder au lecteurs partagés du serveur.
Merci
IP de l'interferface orange: 192.168.2.1 / 255.255.255.0
IP du serveur: 192.168.2.2 / 255.255.255.0
Mon green 192.168.0.1 / 255.255.255.0
J'arrvie depuis le green a pinger sur le 192.168.2.1 mais pas sur le 192.168.2.2
Donc je n'arrive pas a accéder au lecteurs partagés du serveur.
Merci
-
marmotton - Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 25 Oct 2004 23:32
par Mael » 18 Nov 2004 23:32
Resalut,
Ca fait longtemps que je n'ai pas utilisé IPcop mais le principe est
Orange vers Green, interdit
donc il te faut ouvrir des pinholes pour pouvoir accéder à tes partages orange depuis le vert
Tu dois voir dans le log du firewall les ports qui ont été bloqués avec l'IP 192.168.2.2
les ports 137, 138 et 139 pour Samba
et pour le ftp je pense que ça doit etre le 20 en mode actif.
Pour résumer sans pinholes, tout retour de Orange ver Green sera bloqué, mais après quitte à ouvrir
des pinholes tu peux sérieusement songer à la SME
Mael
Ca fait longtemps que je n'ai pas utilisé IPcop mais le principe est
Orange vers Green, interdit
donc il te faut ouvrir des pinholes pour pouvoir accéder à tes partages orange depuis le vert
Tu dois voir dans le log du firewall les ports qui ont été bloqués avec l'IP 192.168.2.2
les ports 137, 138 et 139 pour Samba
et pour le ftp je pense que ça doit etre le 20 en mode actif.
Pour résumer sans pinholes, tout retour de Orange ver Green sera bloqué, mais après quitte à ouvrir
des pinholes tu peux sérieusement songer à la SME
Mael
-
Mael - Capitaine de vaisseau
- Messages: 312
- Inscrit le: 12 Oct 2002 00:00
- Localisation: France
par marmotton » 19 Nov 2004 00:00
Merci
Je vais abandonner le pdc et juste faire du ftp pr l'instant sur mon serveur en interface orange.
J'ai 1 pb c'est que je n'arrive pas a communiquer de green a orange.
Interface Green 192.168.1.1 / 255.255.255.0
Interface Orange 192.168.2.1 / 255.255.255.0
IP du serveur ds la dmz 192.168.2.2 / 255.255.255.0
Autre question : des pinholes sont des ports?
L'ouverture se fait via l'interface web da l'onglet parfeu?
Merci
Je vais abandonner le pdc et juste faire du ftp pr l'instant sur mon serveur en interface orange.
J'ai 1 pb c'est que je n'arrive pas a communiquer de green a orange.
Interface Green 192.168.1.1 / 255.255.255.0
Interface Orange 192.168.2.1 / 255.255.255.0
IP du serveur ds la dmz 192.168.2.2 / 255.255.255.0
Autre question : des pinholes sont des ports?
L'ouverture se fait via l'interface web da l'onglet parfeu?
Merci
-
marmotton - Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 25 Oct 2004 23:32
par Mael » 19 Nov 2004 09:52
De Green à Orange, ça doit fonctionner, mais comme je te disais le retour est bloqué.
- Oui les pinholes sont des ports, en fait ils permettent d'ouvrir des ports de Orange vers Green, ce qui
doit etre réduit au minimum d'ou le nom (trou d'épingle).
- Oui l'ouverture doit se faire dans l'interface dans la partie pinhole
Ceci dit j'en suis resté à la version 1.2 donc je ne peux pas te dire où, mais c'était avec les fonctions
forward de ports ...
Donc pour ton Ftp: TCP 20 en pinhole pour le mode actif, je ne pense pas que le mode passif puisse fonctionner puisque c'est le serveur qui choisi le port DATA de façon dynamique
Mael
- Oui les pinholes sont des ports, en fait ils permettent d'ouvrir des ports de Orange vers Green, ce qui
doit etre réduit au minimum d'ou le nom (trou d'épingle).
- Oui l'ouverture doit se faire dans l'interface dans la partie pinhole
Ceci dit j'en suis resté à la version 1.2 donc je ne peux pas te dire où, mais c'était avec les fonctions
forward de ports ...
Donc pour ton Ftp: TCP 20 en pinhole pour le mode actif, je ne pense pas que le mode passif puisse fonctionner puisque c'est le serveur qui choisi le port DATA de façon dynamique
Mael
-
Mael - Capitaine de vaisseau
- Messages: 312
- Inscrit le: 12 Oct 2002 00:00
- Localisation: France
par marmotton » 19 Nov 2004 13:51
Merci.
Par contre de green a orange pb. Ces deux interfaces doivent pouvoir communiquer avec les options par défauts de ipcop?
J'arrive a pinguer depuis un poste dans le green sur l'ip de l'interface orange
J'arrive a pinguer depuis le poste serveur vers l'ip de l'interface orange
J'arrive a pinguer depuis l'interface orange vers l'ip du poste serveur
Donc communication IP cop <--> serveur marche bien (orange)
Donc communication IP cop <-- Clients marche bien (green)
Mais GREN --> ORANGE marche pas bizarre?
Autre question. Comment fais ton pour arreter un ping sur ipcop?
Par contre de green a orange pb. Ces deux interfaces doivent pouvoir communiquer avec les options par défauts de ipcop?
J'arrive a pinguer depuis un poste dans le green sur l'ip de l'interface orange
J'arrive a pinguer depuis le poste serveur vers l'ip de l'interface orange
J'arrive a pinguer depuis l'interface orange vers l'ip du poste serveur
Donc communication IP cop <--> serveur marche bien (orange)
Donc communication IP cop <-- Clients marche bien (green)
Mais GREN --> ORANGE marche pas bizarre?
Autre question. Comment fais ton pour arreter un ping sur ipcop?
-
marmotton - Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 25 Oct 2004 23:32
par Mael » 19 Nov 2004 17:09
As-tu regardé le log du firewall quand tu fais un ping pour voir ce qui était bloqué ?
Il me semble que c'est normal.
Sinon blocage du ping pour Ipcop 1.3 voir le site d'Antolien
http://ipcop.hn.org/ping.htm
et pour la v1.4
http://ipcop.hn.org/ipcop-sid/ping.htm
Ceci dit je te conseille de poster sur le forum Ipcop si tu as des questions précises, tu y trouveras
plus de réponses qu'ici, parceque là on devient largement hors sujet.
Mael
Il me semble que c'est normal.
Sinon blocage du ping pour Ipcop 1.3 voir le site d'Antolien
http://ipcop.hn.org/ping.htm
et pour la v1.4
http://ipcop.hn.org/ipcop-sid/ping.htm
Ceci dit je te conseille de poster sur le forum Ipcop si tu as des questions précises, tu y trouveras
plus de réponses qu'ici, parceque là on devient largement hors sujet.
Mael
-
Mael - Capitaine de vaisseau
- Messages: 312
- Inscrit le: 12 Oct 2002 00:00
- Localisation: France
par marmotton » 21 Nov 2004 17:32
Salut!
J'ai regardé dans les journaux du parfeu et il apparait que l'interface eth2, celle ou il y a la freebox et l'interface eth0, celle ou il y a l'interface green, mais la orange rien du tout.
merci
J'ai regardé dans les journaux du parfeu et il apparait que l'interface eth2, celle ou il y a la freebox et l'interface eth0, celle ou il y a l'interface green, mais la orange rien du tout.
merci
-
marmotton - Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 25 Oct 2004 23:32
12 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité