Question d'un newb: configurer Ipcop en Firewall Transparent

[nicko1977]

Bonjour,

Nous possédons déja un firewall transparent type Netasq pour filtrer (justement de manière transparente) le réseau WIFI.

J'aimerai mettre en place un IPCOP faisant les memes choses en cas de pannes du NetAsq (ou récuperer mon netasq pour le mettre ailleurs!).

Par contre en faisant des recherches sur le forum, je tombe tout le temps sur laconfiguration des proxy transparent. Mais ce n'est pas ce que je veux.

Je veux juste que l'IPCOP soit entre mon réseau WIFI et mon réseau LAN, sans faire de routage/nat etc, mais que je puisse mettre des regles de firewall pour bloquer des ports, et à terme configure un IPS/IDS.

Est ce que c'est possible déja avec IPCOP ?

Merci

[Gandalf]

Oui, mais sache que par défaut IPCOP laisse tout sortir, à moins de lui rajouter un add-on.

[nicko1977]

merci Msieur Gandalf, c'est quoi le nom de l'addon que j'aille lire les docs ?

[tomtom]

Hum,

Un add-on ne suffira pas...

Tu vas rencontrer pas mal de problèmes :

- pour faire un firewall transparent, il faut faire du bridging, ce qu'ipcop ne fait pas je pense, ou alors faire proxy arp ce qu'il ne fait pas non plus.

- IPCop fait du masquerading coté erd, ce qui ne va pas aller pour toi.
En plus, il n'ets pas symetrique (green -> red non controlé).


Censornet repondra beaucoup mieux à ton besoin à mon avis.


Sinon, il faudra faire les choses à la main.

t.

[bad_trips]

le nom c'est squidguard mais pour qu'il fontionne il faut que le proxy squid soit mis en transparent

[tomtom]

le nom c'est squidguard mais pour qu'il fontionne il faut que le proxy squid soit mis en transparent

non !

Squidgard c'est un filtre d'URL !!!

Pour bloquer tout dans le sens green -> red, c'est Block Out Traffic qu'il faut.

Mais encore une fois, ca ne repondra pas au besoin...


t.

[Gandalf]

Censornet repondra beaucoup mieux à ton besoin à mon avis.
t.

Censornet est un proxy fabuleux, mais côté firewalling c'est un peu léger non ?

[nicko1977]

Effectivement je connais bien censornet, qui a un mode Bridge mais qui ne fonctionne je crois que pour la partie filtrage URL. En mode Bridge la partie Firewall est desactivé..

Arg moi qui croyais etre sauvé avec IPCOP. Des idées pour faire mon firewall transparent ?

[tomtom]

Qu'est ce qui te fait dire ça ?

Netfilter, ma foi c'est netfilter

Pis y'a du bridging et on n'est pas obligés de faire du masqurading. Mais bon, je ne cherche pas à vendre censornet, moi j'utiliserai une debian à ta place....

t.

[nicko1977]

Bien ma foi j'ai un Censornet sous les yeux , pour passer en mode Bridge il y a marqué dans le menu : Bridged Ethernet Mode without firewall ...

[tomtom]

Oups, désolé; le "qu'est ce qui te faire dire ça" etait pour gandalf

Pour censornet, ma foi j'avoue que je ne sais pas trop pourquoi ils désactivent le firewall en mode bridge. Je trouve ça même idiot
Enfin, j'ai deja configuré des debian en firewall transparent.. Je suis sur que ca marche. Après censornet, je te l'ai conseillée comme ça, mais je ne l'utilise pas non plus

t.

[Gandalf]

Oups, désolé; le "qu'est ce qui te faire dire ça" etait pour gandalf
t.

Et bien justement à cause de cette activation/désactivation du firewall ! En plus même en l'activant tu te tapes les règles à la main, rien n'est prévu dans le GUI pour paramétrer le pare-feu !
Bon il est vrai que j'ai travaillé avec il y a déjà 3 ans ( ça a peut-être évolué depuis ), mais je me souviens qu'à l'époque un des mecs sur leurs (excellents) forums m'avait conseillé de le chainer avec un "vrai" firewall !

@ +

[nicko1977]

Je vois qu'un expert (Debian !) l'a déja configuré en transparent. Tu t'es basé sur un howto ou tu as cherché tout seul ?

[tomtom]

Ben j'ai cherché, je ne saurais plus te dire quelles docs m'avaient servi, ce n'est pas très très compliqué de toutes facons.

Il y a un howto qui traine sur le net pour openbsd (remarque, ca peut te convenir aussi !)

Sinon, je me rappelle que j'avais utilisé un linux mag sur le filtrage au niveau 2 (ebtables )

Voila, les modules de bridging, de la logique et surtout une bonne organisation pour en pas faire d'erreurs. Les mêmes recettes que pour un script iptables en fait

Y'a du linux bridge-nf aussi qui est sympa à mettre en route !


t.

[nicko1977]

ok merci je vais faire des recherches !