Bonjour,
eh bien ma foi, une matinée chargée mais fructueuse. J'ai une Ipcop 1.4.1 qui tourne sur laquelle j'ai rajouté diverses choses du genre Squidguard et Copfilter, tout ceci installé et paramétré sans trop de problèmes grâce aux recherches sur Ixus (merci les forums et surtout merci les users).
Une dernière chose me chagrine cependant. J'ai terminé en installant Blockouttraffic histoire de peaufiner l'affaire et de n'autoriser que ce que je voulais, facilement, en sortie de mon LAN.
Alors bon en avant la règle pour le poste admin
IP 192.168.1.X autoriser All, résultat le poste fait ce qu'il veut et c'est bien. Maintenant j'ai deux autres clients pour lesquels je ne veux autoriser que la messagerie et là rien à faire:
IP 192.168.1.XX destination ALL TCP : 25(SMTP) et ALL TCP : 110 (POP) résultat la bécane ne peut pas résoudre le nom des serveurs (logique) donc je rajoute deux règles avec destination TCP et UDP 53 et là, chouette le courrier fonctionne, mais le web aussi , alors que je n'ai pas autorisé explicitement le port 80.
Question : BOT, en mode Bloquer le traffic Vert/Orange -> Extèrieur autorise-t'il par défaut le port 80 ?
Comment interdire ce port 80 et n'autoriser que la messagerie sur mes clients ?
Merci à vous et bpnne journée
Blockouttraffic activé et le port 80 toujours ouvert ?
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
Blockouttraffic activé et le port 80 toujours ouvert ?
par thejud » 15 Déc 2004 17:17
-
thejud - Premier-Maître
- Messages: 57
- Inscrit le: 10 Nov 2003 01:00
- Localisation: 17
par thejud » 15 Déc 2004 17:57
oui c'est idiot, en fait j'ai mis le x comme générique des adresses de mes pc qui sont 192.168.1.1 et 1.2 et 1.3 bref, pour ne pas taper toute l'adresse (que je ne connais pas par coeur d'ailleurs)
Dans BOT, l'adresse tapée est entière exemple: 192.168.1.1
voilà, mais bon il était peut être bon d'être plus précis (d'ailleurs j'ai aussi essayé de paramétrer BOT avec les adresses MAC mais bon, le résultat est identique).
Merci encore
Dans BOT, l'adresse tapée est entière exemple: 192.168.1.1
voilà, mais bon il était peut être bon d'être plus précis (d'ailleurs j'ai aussi essayé de paramétrer BOT avec les adresses MAC mais bon, le résultat est identique).
Merci encore
-
thejud - Premier-Maître
- Messages: 57
- Inscrit le: 10 Nov 2003 01:00
- Localisation: 17
par neodragon » 15 Déc 2004 18:20
Est-ce que tu utilises le proxy de ipcop, en transparent ou non ?
Parce que dans ce cas, si tu as choisi green/orange->red, c'est normal que tes clients puissent accéder au red donc surfer. Comme ils passent par ipcop BOT ne détecte pas qu'ils sortent du réseau.
Pour bloquer l'accès au red, il faut soit enlever le proxy de ipcop, soit choisir dans BOT green/orange->red ET green->Ipcop.
Parce que dans ce cas, si tu as choisi green/orange->red, c'est normal que tes clients puissent accéder au red donc surfer. Comme ils passent par ipcop BOT ne détecte pas qu'ils sortent du réseau.
Pour bloquer l'accès au red, il faut soit enlever le proxy de ipcop, soit choisir dans BOT green/orange->red ET green->Ipcop.
Ipcop (Green+Orange+Blue (avec AP) ) + Block Out Traffic + ADVProxy + URLFilter + OpenVPN
-
neodragon - Lieutenant de vaisseau
- Messages: 182
- Inscrit le: 14 Fév 2004 01:00
- Localisation: Aisne
par thejud » 15 Déc 2004 18:57
En fait si je comprends bien, pour que ma config fasse ce que je demande, il faut que je désactive le mode transparent de Squid et que je m'en serve comme un proxy normal, en paramétrant mes clients navigateurs avec l'IP de mon IPCOP et le port de mon proxy (800 il me semble) et à partir de là, BOT prendra le relais et complètera le travail en ne filtrant que le 25, le 110 et les deux ports 53 (TCP et UDP) pour la résolution DNS, tout cela sans autoriser mes clients à aller sur le 80 sans y être dûment autorisés.
je ne souhaite pas désactiver mon proxy puisque j'utilise le filtrage squidguard.
Alors j'ai bon là ? C'est vrai que cette histoire de proxy transparent c'est simple mais j'avais pas fais gaffe, comme quoi, l'expérience progresse avec les erreurs.
Meric encore et si vous avez d'autres conseils je prends
Bonne soirée
je ne souhaite pas désactiver mon proxy puisque j'utilise le filtrage squidguard.
Alors j'ai bon là ? C'est vrai que cette histoire de proxy transparent c'est simple mais j'avais pas fais gaffe, comme quoi, l'expérience progresse avec les erreurs.
Meric encore et si vous avez d'autres conseils je prends
Bonne soirée
-
thejud - Premier-Maître
- Messages: 57
- Inscrit le: 10 Nov 2003 01:00
- Localisation: 17
par neodragon » 15 Déc 2004 21:57
Ben la solution la plus simple que je vois, c'est de configurer BOt pour qu'il filtre à la fois green/orange->red ET green->ipcop.
Comme ça tu ne change rien à ton proxy, tu peux mm le laisser en transparent.
En fait les clients qui voudront surfer passeront par ipcop (proxy transparent) mais la connexion sera refusée par BOT puisque tu bloques green->ipcop.
Pour configurer BOT, c tout simple : tu le désactives, tu édites les paramêtres et tu le réactives
En faisant comme ça, tu éviteras que les petits malins qui savent que tu as un proxy, configurent leur poste pour passer par le proxy et ainsi surfer en passant au travers de BOT. (situation que tu auras si tu fait comme tu as dit ds ton post)
J'espère t'avoir aidé.
Comme ça tu ne change rien à ton proxy, tu peux mm le laisser en transparent.
En fait les clients qui voudront surfer passeront par ipcop (proxy transparent) mais la connexion sera refusée par BOT puisque tu bloques green->ipcop.
Pour configurer BOT, c tout simple : tu le désactives, tu édites les paramêtres et tu le réactives
En faisant comme ça, tu éviteras que les petits malins qui savent que tu as un proxy, configurent leur poste pour passer par le proxy et ainsi surfer en passant au travers de BOT. (situation que tu auras si tu fait comme tu as dit ds ton post)
J'espère t'avoir aidé.
Ipcop (Green+Orange+Blue (avec AP) ) + Block Out Traffic + ADVProxy + URLFilter + OpenVPN
-
neodragon - Lieutenant de vaisseau
- Messages: 182
- Inscrit le: 14 Fév 2004 01:00
- Localisation: Aisne
par thejud » 16 Déc 2004 10:47
Bonjour,
pour le moment je ne peux pas tester mais ce sera chose faite d'ici à ce soir.
je pense que c'est tout à fait le cas et je t'en remercie beaucoup
Bonne journée et je vous tiens informés de ma progression
pour le moment je ne peux pas tester mais ce sera chose faite d'ici à ce soir.
J'espère t'avoir aidé.
je pense que c'est tout à fait le cas et je t'en remercie beaucoup
Bonne journée et je vous tiens informés de ma progression
-
thejud - Premier-Maître
- Messages: 57
- Inscrit le: 10 Nov 2003 01:00
- Localisation: 17
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité