Placer un proxy filtrant IPcop derrière un boitier firewall?

[VXgas]

Bonjour à tous,

je dispose d'un firewall de type "boite noire" et je souhaiterai ajouter un IPcop qui fasse proxy filtrant transparent (web et email) :

L'architecture est la suivante :
* FIREWALL :
- adresse IP fixe publique pour le "RED" (84.#.#.18)
- adresse IP fixe privée pour le "GREEN" (192.168.0.251)
- RED connecté au routeur du FAI
- GREEN connecté à un switch
- il dispose d'une DMZ

* Routeur du FAI :
- IP fixe publique (84.#.#.17)
- impossibilité de le reconfigurer (peut être sur demande)

* Routeur interne :
- passerelle par défaut
- adresse IP fixe privée (192.168.0.254)
- routage vers internet et/ou les sites distants
- reconfiguration sur demande seulement

* Proxy filtrant :
- filtrage email
- filtrage HTTP et FTP

(internet)---[ROUTEUR FAI (ip publique)]----[Red(ip publique) PAREFEU Green (ip privé)]----switch---[routeur privé]----

================
Questions :
- puis-je faire un proxy filtrant transparent avec IPcop+copfilter sans activer son parefeu ?
- existe il une autre solution pratique autre qu'IPcop avec les fonctionnalités de copfilter
- dois-je mettre une ou deux cartes réseau sur l'IPcop dans ce cas là ?
- dois-je placer le proxy en DMZ ?
- Que dois je reconfigurer au niveau du réseau ?

Merci de vos conseils et de votre réflexion.

-= VX =-

[Zitoirz]

bonjour,
en fait tu souhaite un proxy filtrant, je pense qu' IPCop est beaucoup plus axé firewall que proxy, tu peut regarder de coté d'autre distribution. A une époque j'avais testé censornet qui est basé sur une debian... Par contre je ne sais plus si c'est du libre. http://www.censornet.com/
Zitoirz.

[VXgas]

Censornet semble un produit assez complet mais ne fait que proxy web et mon principale but et de faire du proxy email pour effectuer du filtrage antivirus et antispam.

D'autres idées ?

-= VX =-

[Gandalf]

du proxy email pour effectuer du filtrage antivirus et antispam.

Qu'est-ce que pour toi un "proxy email" ?????? Jamais entendu parler de ça ! Ne serait-ce pas plutot une passerelle SMTP avec antivirus ? Si c'est le cas, effectivement Censornet ne le fait pas !

Tu peux aller là http://www.althar.com/, la distrib maraudeur fait tout ça ( distrib qui a fait couler bcp d'encre sur Ixus hein Tom ) , mais c'est du béta et pas ( encore ? ) libre ! Sinon il te faut 2 machines : 1 proxy web + une passerelle filtrante !

@ +

[VXgas]

Merci Gandalf... Je ne connaissais pas cette distrib qui peut être sympa.

Toutefois il s'agit encore là d'un parefeu filtrant et il me suffit d'ajouter Copfilter sur l'IPcop si je souhaite ce type de fonctionnalité.
De plus, possédant déjà un boitier firewall Sonicwall je ne souhaite pas utiliser les capacités de parefeu de l'IPcop mais uniquement les fonctionnalités de Copfilter principalement le filtrage du flux POP3/SMTP pour l'antispam et l'antivirus (spamassassin/Clamav). Pratique car la gestion des différentes options ce fait via l'interface graphique de Copfilter.
Mais IPcop ayant 2 pattes minimum je ne sais pas du coup comment le placer sur mon réseau tel que décrit dans mon premier post sachant que j'ai des routes à respecter pour mes sites distants et de la translation d'adresses.
Mettre une ipcop juste derrière le Sonicwall ?

[dbzh]

C'est éxactement ça que je veux reproduire, sachant que je n'ais à ce jour tjr pas trouvé de distrib ayant les meme fonction que copfilter, je pense mettre en oeuvre un second serveur IPCOP avec copfilter dessus pour filtrer tout le traffic web et mail. Je préfere avcoir 2 machines dédiés : une firewall et une filtrage du traffic.

J'aime pas rajouter trop de MOD sur Ipcop + il y a de mod plus il y des risques de sécu.

si quelqu'un à une autre idée ?

[okin283]

Salut
J'ai un projet avec casiment les meme contraintes que vous.

Je souhaite mettre en interne un serveur de messagerie et utiliser ipcop comme passerelle pop/smtp dans ma dmz.
J'ai un firwall cisco autant l'utiliser pour ma dmz

Voila mon schema:

NET
|
|
Pix (FW) ---DMZ -- passerelle ipcop + copfilter
|
|
lan
|
|
Serveur de messagerie

Copfilter a l'air de bien fonctionner lors de mes tests sur des maquettes avec des machines virtuelles, la seule difficultée est de router les flux par la dmz mais apres ca c'est un jeu d'enfant.
En ce qui concerne le firewal d'ipcop j'ai decidé de le laissé actif, en laissant passer que les flux utiles (smtp, pop, https) deux firewall valent mieux qu'un mdr.

Enfin c'est toujours sur le papier , ya plus qu'a!

[VXgas]

Content de voir que je ne suis pas le seul à avoir cette problématique et à vouloir employer cette solution.
Ta solution me semble pas mal okin. Je vais peut être utiliser cela et laisser les fonctionnalité de parefeu active comme tu le dis si bien: 2 pare-feu valent mieux qu'un !

Mon soucis va être de rediriger les flux car je n'ai pas la maitrise du routeur principale. Je vais donc voir cela avec mon FAI.

J'suis ouvert à d'autre proposition/discussion.

-= VX =-