[Résolu]Désactiver le FW

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu]Désactiver le FW

Messagepar jsilver » 26 Août 2005 14:38

Bonjour,

je souhaite installer Ipcop mais juste pour mesurer le traffic et comme proxy transparent.
Ipcop sera derrière mon FW, je ne souhaite donc pas avoir 2 FW de suite et surtout Ipcop que que je maitrise moins bien.

Comment désactiver le FW ? Je qouhaite simplement conserver le routage entre les interfaces.

Merci

julien
Dernière édition par jsilver le 02 Sep 2005 10:21, édité 1 fois au total.
Avatar de l’utilisateur
jsilver
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 20 Oct 2003 00:00

Messagepar Gandalf » 26 Août 2005 15:13

Ou comment enlever les freins et le moteur sur une voiture parce qu'il n'y a que la carrosserie qui m'intéresse :lol: :lol: :lol: :lol: !

Blague à part si tu veux juste faire du routage il y a d'autres façons ou d'autres produits plus simples et surtout plus adapté ! Si tu veux d'autres fonctions ( filtrage web / mots clés , QOS, horaires d'accès .... ) alors regardes du côté de Censornet qui est proxy assez puissant !

@ +
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar jsilver » 26 Août 2005 15:27

t'es sévère, IPCop m'interesse, les addons, la souplesse, etc..
Pour ce projet j'ai juste besoin de d'un proxy transparent.

Mais pour d'autres j'ai besoin de VPN sur des liens ADSL.

Découvrir IPCop va donc me servir, je monte une écurie, j'ai besoin de plusieurs voitures et pilotes (y compris piloe-essayeur)

Est-il possible d'arreter le FW ou d'assouplir les règles ? Laisser passer tout TCP et UDP

julien
Avatar de l’utilisateur
jsilver
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 20 Oct 2003 00:00

Messagepar frost » 26 Août 2005 16:23

laissez passer tout le tcp et l'udp reviendrait à ouvrir la porte de ta maison grande ouverte avec un panneau "venez vous servir" !! ton firewall est si costaud que ça pour que tu veuilles à ce point te passer d'ipcop ?
Frost
------------------------------
Ipcop Addict
------------------------------
Avatar de l’utilisateur
frost
Contre-Amiral
Contre-Amiral
 
Messages: 465
Inscrit le: 28 Fév 2004 01:00
Localisation: Arras

Messagepar jsilver » 26 Août 2005 16:58

j'en suis bien conscient
mon autre fw est un pix cisco 515 et il m'a dit encore y a pas longtemps que oui pas de problème.
Avatar de l’utilisateur
jsilver
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 20 Oct 2003 00:00

Messagepar Gandalf » 26 Août 2005 17:58

jsilver a écrit:mon autre fw est un pix cisco 515


Pas besoin d'IPCOP dans tout ça, un PC, 2 cartes réseaux, n'importe quelle distrib Linux et tu as un routeur ! Derrière un pix ça va être bien !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar buck442 » 26 Août 2005 18:00

Je ne peux pas résister...
<TROLL>
pour aussi peu de besoin, utilise SME ... :lol:
</TROLL>
:wink: [/quote]
Avatar de l’utilisateur
buck442
Major
Major
 
Messages: 85
Inscrit le: 14 Août 2005 11:28
Localisation: Maisons-Alfort

Messagepar FiLz » 27 Août 2005 10:31

Pk personne ne veux repondre à sa question, c'est bien gentil de mettre en garde mais vous l'aidez pas bcp !! perso jpeux pas t'aider lol =)
FiLz
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 24 Mars 2005 22:07

Messagepar leso » 27 Août 2005 11:32

Analyse le fichier rc.firewall et partout ou y'a du drop tu mets accept (enfin surtout sur les chaines de politique par défaut)
mais bon l'ipcop devient une passoire
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar jsilver » 30 Août 2005 20:27

Merci, j'ai changé les DROP en ACCEPT dans rc.firewall

ma config est la suivante :

Lan 172.16.0.0/16
|
|
switch 192.168.14.9/24
|
|
|
eth0 IPCop 192.168.14.3/24
[IPCOP]
eth1 IPCop 192.168.15.3/24
|
|
eth0 FW 192.168.15.1/24

depuis mon switch je ping bien et je peux me connecter à l'interface eth0 de Ipcop

Depuis Ipcop je ping mon FW, Internet et mon LAN

Mais depuis mon LAN je ne peux pas pinger eth1 de IPCop et Internet non plus, ni surfer.
alors que j'ai rajoutté une route de Ipcop vers mon LAN qui passe bien par eth0

j'ai l'impression que l'option routage n'est pas bonne sur le IPCop.
Les messages arrivés à Eth0 ne traversent pas Eth1.

Ou est le binz ?

merci

ps : censornet me semble moins, Black List payante, pas de mode transparent pour squid. Mais le mode bridge est interessant.
Avatar de l’utilisateur
jsilver
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 20 Oct 2003 00:00

Messagepar jsilver » 02 Sep 2005 10:20

ok
j'avais oublié de rajoutter une route sur le switch qui fait l'interco entre les vlans pour lui déclarer le réseau entre ipcop et le firewall.

merci
Avatar de l’utilisateur
jsilver
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 20 Oct 2003 00:00

Messagepar MI6Fred » 02 Sep 2005 11:26

Désactiver ton firewall c'est juste pour les performances ? Parce que si c'est vraiment le cas, le plus simple c'est :
Code: Tout sélectionner
/etc/rc.d/rc.firewall stop

Par contre plus de NAT ! Comment veux-tu mesurer le traffic sortant ? J'ajouterais que pour faire fonctionner le proxy en mode transparent, il te faut le firewall (au moins une règle).
Perso, j'irais plutôt configurer le routeur firewall Cisco pour renvoyer les requêtes http sur le proxy qui serait dans le réseau local. Qu'est-ce qu'il y a entre ton IPCop et le routeur ?
MI6Fred
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 11 Oct 2004 19:07

Messagepar jsilver » 02 Sep 2005 11:32

j'ai mis toutes les regles en accept

le proxy est en mode transparent
ipcop est entre mon switch et mon fw sur un réseau à part

Pour rediriger les flux http vers un proxy il faut gérer wccp ou pour le pix avoir websense ou autres ( un produit validé par cisco)

avec ipcop en transparent entre les 2, c cheap mais ça marche.
Avatar de l’utilisateur
jsilver
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 20 Oct 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité