Surf et folding depuis DMZ et.... quelques questions ;)

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Surf et folding depuis DMZ et.... quelques questions ;)

Messagepar fatche » 02 Jan 2005 11:48

Bonjour,

je suis confronté à un petit problème : J'ai une debian dans le DMZ en tant que serveur web mais j'aimerais qu'on puisse surfer sur le web depuis ce PC. D'autre part j'ai un client folding@home qui tourne et il est dans l'impossibilité de se connecter.

Je me doute bien que la solution se trouve dans "Accès externes" mais je bloque sur les ports à ouvrir.

D'autre part, j'ai installé OpenOffice sur ce serveur et j'aimerais qu'on puisse ou récupérer les fichiers enregistrés depuis un WinXP de la zone Green ou envoyer directement un fichier enregistré vers le WinXP de la zone Green. Est-ce possible sans remettre en cause la sécurité (par exemple avec un accès temporaire en ssh)?

Et pour finir, j'ai pour ipcop un PII 400 avec 96 Mo de RAM (edo je crois). Est-ce suffisant pour installer copfilter caril n'y a rien à ce sujet sur le site de madlener (je suppose qu'installer un F@h en plus relève de la folie)?


Désolé pour le flot de questions et merci d'avance :)
fatche
Matelot
Matelot
 
Messages: 3
Inscrit le: 02 Jan 2005 11:36

Re: Surf et folding depuis DMZ et.... quelques questions ;)

Messagepar Gandalf » 02 Jan 2005 14:43

fatche a écrit:Bonjour,

je suis confronté à un petit problème : J'ai une debian dans le DMZ en tant que serveur web mais j'aimerais qu'on puisse surfer sur le web depuis ce PC.


Il faut indiquer sur le serveur l'IP de la passerelle = IP eth orange sur IPCOP + DNS tu peux mettre ceux de ton fai ou un autre qui va bien comme 194.2.0.20+194.2.0.50 !

fatche a écrit: D'autre part j'ai un client folding@home qui tourne et il est dans l'impossibilité de se connecter.


Késako un client folding@home ?????

fatche a écrit: D'autre part, j'ai installé OpenOffice sur ce serveur et j'aimerais qu'on puisse ou récupérer les fichiers enregistrés depuis un WinXP de la zone Green ou envoyer directement un fichier enregistré vers le WinXP de la zone Green. Est-ce possible sans remettre en cause la sécurité (par exemple avec un accès temporaire en ssh)?


Depuis green tu dois avoir accès comme tu veux à orange sans ajouter de règles ! Donc tu peux récupérer tes doc OOo depuis n'importe quel poste dans le green. Le mieux étant de définir un rép partagé et mappé sur les XP avec les droits qui vont bien ( Samba sur ton serveur et zou ! )

fatche a écrit: Et pour finir, j'ai pour ipcop un PII 400 avec 96 Mo de RAM (edo je crois). Est-ce suffisant pour installer copfilter caril n'y a rien à ce sujet sur le site de madlener (je suppose qu'installer un F@h en plus relève de la folie)?


Je ne pense pas que ta ram soit de l'EDO si c'est un PII 400, mais de la SDRAM ! Si tu as bcp de clients derrière ton IPCOP rajoutes de la RAM ! Pour le F@h je ne sais tjs pas ce que c'est ?

Bonne journée et @+ !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar fatche » 02 Jan 2005 20:40

Merci Gandalf de tes réponses :)

Folding@home est un programme de calcul partagé (étude du pliement des protéines pour la recherches dans divers domaines médicaux tels que le cancer, Keutzfeld Jacob, Alzheimer, etc...).
Pour pouvoir calculer il doit avoir les accès client et serveur à Internet (envoi des calculs finis et réception des nouvelles unités de calcul). Je pensais qu'il fallait configurer un port dans "accès externe".

Pour le partage de fichiers, Samba n'ouvre-t-il pas une brêche de sécurité en cas de corruption du PC serveur? Sinon celà semble effectivement intéressant 8)

Pour l'installation de copfilter je n'ai que trois postes connectés. Je ne rends pas compte si 96 Mo sont suffisants :oops:


Pendant que j'écris une question me vient à l'esprit :

Mes postes sous Windows sont habituellement protégés par ZoneAlarm. Celui-ci fonctionne suivant une distinction entre "zone sûre" et "zone Internet". En "zone Internet", lorsqu'un programme veut se connecter à Internet une fenêtre s'affiche pour me demander l'autorisation d'accès.
Or, mon réseau locale étant défini comme sûr, celà veut-il dire que n'importe quel logiciel espion (ou composant Windows) qui désire se connecter à Internet, celui-ci le peut sans aucune restriction?

Merci :)
fatche
Matelot
Matelot
 
Messages: 3
Inscrit le: 02 Jan 2005 11:36

Messagepar Gandalf » 02 Jan 2005 22:28

Non il ne faut rien configurer dans les accès externes, il faut savoir sur quel port arrivent les données de tes calculs et faire un forwarding de ce port vers ton serveur en DMZ. Par exemple si les données arrivent sur le port 35000 il faudra aller dans les transferts de ports et écrire une règle de ce type :
defaultIP : port 35000 ---> IP de ton srv : port 35000 ! Comme ça tout ce qui arrivera sur ce port sera transmis à ton serveur sur le même port ! Dans l'autre sens il ne faut rien configurer car IPCOP laisse tout sortir à la base ! Les accès externes ouvrent des ports sur le système du firewall, et servent généralement pour l'admin à distance !

Pour Samba dès que tu partages qquechose oui il y a des risques, mais la zone orange n'est quand même pas la salle d'attente d'un médecin, ce que tu pourrais faire c'est mettre ce srv dans ton LAN ce serait pas mieux non ? A t'il une vraie raison d'être dans ta DMZ ?

96 MO c'est déjà pas mal, mais je ne connais pas le besoin de copfilter, essayes et tu verras !

Je ne connais pas vraiment ZA, et de toute façon si tu utilises IPCOP tu peux le benner, IPCOP est un VRAI firewall, pas un jouet haut en couleur ! Si tu veux un pare-feu logiciel prends Sygate firewall, pas ZA !

En espérant t'avoir aidé un peu !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar fatche » 02 Jan 2005 22:41

Gandalf a écrit:En espérant t'avoir aidé un peu !

Et même beaucoup :D

Les pistes que tu m'as donné vont me permettre de faire des recherches plus approffondies (notemment le fait d'avoir un client f@h sur chaque pc entre autre).

La présence de mon serveur en DMZ me semble utile car ce pc est avant tout un serveur. Je pense qu'il ne servira que rarement comme poste bureautique mais je préfère prévoir plutôt que de galérer dans l'urgence le jour venu :wink:

Par contre je ne suis pas réellement convaincu en ce qui concerne l'évasion, et BlockoutTraffic, même s'il m'a l'air intéressant, me semble inadapté à des configurations très mouvantes comme un PC personnel sur lequel on est toujours en train d'installer et de désinstaller de multiples logiciels faisant appel à Internet (avec autant de manipulations côté pare-feu).
Mais je peux me tromper...

Merci encore :)
fatche
Matelot
Matelot
 
Messages: 3
Inscrit le: 02 Jan 2005 11:36


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité