IPCOP + Point d'acces wifi

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCOP + Point d'acces wifi

Messagepar FOUINE95 » 16 Jan 2005 18:40

Bonjour a tous

Je vais bientot passer au tres haut debit (20M) et mon pauvre router/firewall/VPN Zyxel650R11 ne supportera pas la charge.

Pour le remplacer, je m'oriente vers une distro linux. Mon choix s'est porté sur IPCOP. Je n'ai pas tres bien compris le coup des interface GREEN, RED, ORANGE.

J'aimerai pouvoir utiliser egalement ma carte Wifi PCMCIA Belkin F5D6020f (PRISM) dans son adaptateur PCI pour faire un point d'acces wifi.

Comme machine, je dispo d'un PII400, d'un HDD de 6go, pas de lecteur CD, un floppy, et pour la RM, je ne sais pas combien il faut.

Voila, mon projet est il réalisable? suis je a coté de la plaque? ai je les bons composants? des conseils?

Merci a vous ;)
FOUINE95
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 26 Nov 2004 15:15

Messagepar pulsergene » 16 Jan 2005 19:19

bonjour

Voila, mon projet est il réalisable? suis je a coté de la plaque? ai je les bons composants? des conseils?


le projet est possible en utilisant l'interface blue
mais reste a voir si ipcop reconnait ta carte wifi

par contre pour l'installation d'ipcop tu vas etre obliger de l'installer via un partage réseau vu que tu n as pas de lecteur CDROM
regardes la doc d'install sur le site d'ipcop elle pourra t aider je pense


bonne fin de journée
Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city

Messagepar poudre » 16 Jan 2005 21:21

Bonsoir,

Pour une utilisation simple, pour la mémoire, 128 Mo c'est semble t'il suffisant.
j'ai deux configs qui tournent avec respectivement 128 et 256 Mo de mémoire et celle avec 128 ne part jamais en swap donc on peut penser qu'il n'est pas nécessaire d'avoir plus.
A vérifier par d'autres expériences, contrôles, ...

Pascal.
poudre
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 159
Inscrit le: 21 Nov 2003 01:00

Messagepar shwing » 17 Jan 2005 00:11

j'ai aussi 128Mb de ram, et je suis toujours à +/- 94-98% utilisé. PII400 - 10Gb - red - orange - green
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar FOUINE95 » 18 Jan 2005 20:19

Etant un total neophite a propos de linux, IPCOP est il a ma porté? que pensez vous de M0n0wall, smothwall et autre distrib? j'ai de tres solides bases en reseau, mais pas en linux. je cherche a me faire un router/firewall 100M car vu les prix d'une boite toute faite......OUT !!!!!

pour le Wifi, je peux faire une impasse car c'etait histoire d'utiliser ma carte, mais j'ai deja un AP Linksys 54G.
FOUINE95
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 26 Nov 2004 15:15

Messagepar Chikouille » 18 Jan 2005 23:41

Salut fouine

Si tu as de solides bases en réseau, Ipcop est une occasion de passer "en douceur" à Linux

C'est vrai qu'il n'est pas possible de tout faire par l'intermédiaire de l'interface graphique, mais si tu n'est pas rebuté par la ligne de commande, tu prendras vite conscience de la puissance de l'outils.

Avec peu de matos, tu pourra te configurer un firewall tres puissant (encore plus avec les addons)
il faut se prendre un minimum la tete au debut mais une fois que c'est fait, c'est acquis pour tous les systeme linux.

Je n'ai pas testé les autres distribs mais si tu trouve un bon site de support (mieux qu' ixus :)) lance toi!!

Sinon 128Mo est tres suffisant pour un fonctionnement normal (sans addons), de toute facon un systeme linux utilisera toujours la plupart de la memoire disponible.

bon courage
Le pire, c'est qu'aujourd'hui les poules ont des dents !
Avatar de l’utilisateur
Chikouille
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 10 Juin 2004 13:59

Messagepar FOUINE95 » 19 Jan 2005 01:11

J'ai fouiné et j'ai trouvé quelques belle pieces ;)

un celeron 900 et 256mo + un Hdd de 10go + un lecteur CD finalement :)

Pour les cartes reseaux je vais coller tout ce que j'ai de 3com, exit realteck....

Je compte utiliser une autre machine comme server Apache+php et elle fera aussi serveur httpHost (http tunneling) (aujourd'hui sous windows). j'envisage donc l'usage d'une DMZ. Je ne compte pas utiliser de fonction proxy (j'en vois pas trop l'interet dans mon cas). Et j'ai un serveur de fichier + ftp + termainl server, qui restera sous W2k3 pour des facilité d'exploitation qui lui sera sur mon LAN, pas en DMZ.

J'envisage donc une configuration avec 3 interfaces.

J'ai en plus un Point d'acces ethernet wifi Linksys. Aujourd'hui il est connecté a mon LAN sur mon switch. la seule protection est une clé WEP 128bit + filtrage par MAC. j'ai cru comprendre que IPCOP pouvait servir a proteger les interface WLAN, mais comment? est ce necessaire dans mon cas? faut il envisager une 4eme carte reseau?

PS : j'ai lu beaucoup de post ce soir, et les problemes rencontrés sur le fonctionnement d'IPCOP m'ont fait douter de la fiabilité de la bete, face a un router tout fait du commerce... :( dites moi que j'ai tors!!!!
FOUINE95
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 26 Nov 2004 15:15

Messagepar zeltron » 19 Jan 2005 01:50

Fouine95 tout d'abord je vais répondre à ta première question : Red c'est la zone interne en sortie de ton modem (la jungle quoi !) sur orange c'est une zone démilitarisée (dmz) normalement tu y colle ton serveur sur green c'est tes postes totalement protégés par le firewall et sur blue (nouveauté depuis l'ipcop 1.4x) (c'est une autre zone démilitarisée donc séparée également de ton green) pour coller ton AP Wifi.

La zone blue à la particularité de filtrer les adresses MAC (comme le green sans DHCP). L'ipcop est donc la pieuvre en tête de pont pour redistribuer ta connection internet.

Pour ton serveur je te conseille vivement une autre distribution "appliance" comme la clarkconnect (tu trouveras sur ixus également un forum qui lui est dédié) que tu connecteras avec un cable croisé sur la "patte" orange de ton ipcop.

Avec deux machines monopolisées tu disposeras d'un serveur web, FTP, serveur de mail, serveur de fichier, serveur DNS, serveur d'impression, proxy (sachant que tout cela est sélectionnable par de simples cliques de souris) et le tout protégé par un firewall performant (ipcop).

Evidement ipcop et clarkconnect sont entièrement paramétrables par interface web depuis n'importe quel poste de ton green depuis tes workstations Windows. Pour ton terminal serveur il existe un projet sous Linux LTSP (Je ne develloppe pas plus car ici on parle de l'ipcop !!!).

Pour conclure je peux te garantir que j'ai vu planter des firewalls matériels sur des attaques type tear drop sans que les constructeurs upgrade les firmwares, je n'ai jamais vu l'ipcop s'éfondrer sur des attaques (heureusement c'est son boulot !!!).

Bref si tes PC son stables ton serveur et ton firewall ipcop le seront !!!
L'ipcop est customisable donc il est possible de la bidouiller et donc de la rendre instable ou de lui occasionner des conflits mais rassures-toi essayes là et tu verras les problèmes c'est 99% dû aux utilisateurs qui sortent des sentiers battus...

On va te faire aimer Linux... :wink:

PS: combien coute une licence W2K3 terminal serveur ?
Freebox V4 dégroupée ipcop 1.4.10 Red+orange+green+blue
zeltron
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Jan 2005 09:27

Messagepar FOUINE95 » 19 Jan 2005 11:13

LOL, combien coute quoi? tout ce que je fais est pour un usage strictement perso et a but educatif.

j'ai lu qu'il n'etait pas "propre" de faire communiquer un server en DMZ avec un server en zone GREEN.

je m'explique, aujourd'hui j'ai un server Web apache qui fait tourner un webmail et un webftp. Ce ne sont que des "frontend" qui se connecte sur un autre server, en LAN (futur GREEN) pour acceder aux services SMTP (Macallan mail) et FTP. pourquoi? car ce server est ce que j'ai de plus cher, il heberge mes 500Go de donnée en Raid1 et qu'il doit etre dispo en priorité pour mon LAN. Aujourd'hui je n'ai pas de DMZ, j'ai un Modem/router/firewall Zyxel Prestige 652R11 qui filtre par IP et mes 2 server sont sur mon LAN, derriere ce coupe feu.

Qu'en pensez vous? sur l'acces d'un server en DMZ vers l'Int GREEN ?
FOUINE95
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 26 Nov 2004 15:15

Messagepar zeltron » 19 Jan 2005 12:47

Même à titre perso ou educatif tu dois t'affanchir des licences bref le repect des licences ça te regarde c'est n'est pas le propos ici, Ce que je voulais te faire comprendre c'est ce que linux et l'ipcop pouvait t'apporter en regard des offres commerciales.

Dans ton cas si j'ai bien compris il s'agit de postes Windows sur green.
En fait tu peux acceder proprement à orange de green grace à wins tu renseignes dans la configuration réseau de ton serveur orange dans la section wins l'adresse IP de la patte green de l'Ipcop et dans le serveur DHCP ou sur les postes green en IP statique tu renseignes le serveur primaire Wins avec également l'adresse ip de la patte green de l'ipcop.

tu accèdes comme cela à ton serveur en orange avec des postes windows en green sans créer des trous (pinholes) de green vers orange qui compromettraient la sécurité de green.

Pourquoi deux serveurs quand tout peut être fait avec une seule machine ?

Zeltron.
Freebox V4 dégroupée ipcop 1.4.10 Red+orange+green+blue
zeltron
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Jan 2005 09:27

Messagepar FOUINE95 » 19 Jan 2005 14:24

je prefere :

1 machine dedier au routage/firewall (dedié = stable)
1 machine dedier aux services WEB (exposé)
1 machine de stockage pur en LAN (exposé le moins possible donc en LAN)

Pour moi, il suffisait de creer une ou deux regles pour laisser passer le FTP et le SMTP entre Orange et green.....je n'ai pas compri ta solution de server wins.....
FOUINE95
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 26 Nov 2004 15:15

Messagepar zeltron » 19 Jan 2005 15:56

je pensais que tu voulais mettre ton serveur de stockage disponible sur le net avec la possibilité d'y accéder depuis green mais si effectivement tu veux poser un serveur de stockage dédié à green qui ne doit pas être vu du net tu n'as le choix d'avoir deux serveurs.

Mets alors ton serveur de stockage sur green afin d'avoir le niveau de protection maximal au vu d'internet. Et ton serveur avec les services internet dans la DMZ orange.
Dernière édition par zeltron le 31 Jan 2005 12:49, édité 1 fois au total.
Freebox V4 dégroupée ipcop 1.4.10 Red+orange+green+blue
zeltron
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Jan 2005 09:27

Messagepar FOUINE95 » 19 Jan 2005 20:06

Oui, mais ca serait trop facile :)

Mes service Internet sont SMTP et FTP. Que mon SMTP passe sur le server WEB, ok, mais le FTP doit donner acces a mes données....sur le server de stockage. Soit je me tape un histoire ultra longue a faire des partages reseaux dans tout les sens, soit mon FTP tourne sur mon server de stockage.

En soit ca ne pose pas de PB. Suffit de faire une regle (open 20,21) entre la RED zone et la GREEN zone puis comme mon server WEB (en ORANGE) fait tourner un WEBFTP, il faut egalement que j'ouvre les 20 et 21 (n'autoriser que l'adresse IP et MAC du server WEB) entre ORANGE et GREEN.

Est ce si dangereux que ca?
FOUINE95
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 26 Nov 2004 15:15

Messagepar FOUINE95 » 19 Jan 2005 22:21

Niveau securité, un IPCOP peut il etre aussi fiable que ca :
ftp://ftp.us.zyxel.com/zywall10/document/zywall10_V.2.0_Datasheet.pdf ?
FOUINE95
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 26 Nov 2004 15:15

Messagepar zeltron » 20 Jan 2005 11:26

Ben disons que le but de green c'est d'être étanche si tu crées des pinholes tu peux compromettre ton green tout entier par le serveur FTP que tu y mets.

Quel est la différence pour toi entre green et orange si tu pose un serveur sur green et que tu ouvres des port pour ton serveur ?
Moi je ne la vois pas et c'est contraire aux règles du firewall même voire je ne vois quasiment plus l'interet du firewall puisque tu amène le loup dans la bergerie !!!

En sécurité il faut toujours partir du pire donc du principe qu'un serveur est toujours exposé: si un serveur est compromis dans la zone orange c'est au pire toute la dmz qui est compromise donc le serveur tout seul.

Si maintenant tu poses un serveur sur green et qu'il est compromis tu peux compromettre tout green reste à toi de définir ce qui est le plus important pour toi.

A ta place, je garderais le serveur de stockage en green, Mettrais le serveur FTP sur orange et mettrais en place un système de synchronisation des données entre green et orange sans créer de pinhole dans le firewall (quel est ton serveur linux ? Windows ? donnes plus de détails ce que sont tes machines et ce que tu veux faire également).

J'ai plus confiance en l'ipcop qu'aux appliances matériel dans la mesure ou tu contrôle tout et surtout tu vois tout.
Sache également que l'ipcop protège beaucoup de grandes entreprises... :wink:
Freebox V4 dégroupée ipcop 1.4.10 Red+orange+green+blue
zeltron
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Jan 2005 09:27

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron