Reverse Proxy pour Exchange et OWA

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Reverse Proxy pour Exchange et OWA

Messagepar Koj » 23 Déc 2005 18:42

Bonsoir,

J'ai cherché sur le forum une bonne heure et je n'ai pas vraiment trouvé les infos donc j'en profite pour partager ma question a notre belle communauté :

Comment installer IPCOP pour faire du reverse proxy mail/https avec Exchange 2003 ce qui revient clairement à concurrencer ISA 2004 ?


[ internet ]
|
|
IPCOP ----- 192.168.45.1 = Passerelle smtp&AntiV + 192.168.45.2 = Exchange virtuel avec IIS TCP 443 et Exchange SMTP 25
|
|
[ LAN ]
|
Exchange 2003
IIS OWA TCP 443 SSL
SMTP 25


J'ai oui dire qu'un plug-in pourrait le faire : serveur Linux/Apache avec mod_proxy.
Honnetement je suis un ancien utilisateur d'ipcop 1.3 donc je n'ai pas vu les évolutions et je n'ai pas vu sur le site officiel d'info dans les news sur la 1.4.10 concernant le reverse proxy. Y a t il une section prévu dans le manuel pour cela ? Connaisseriez vous cet add-on (ou un autre) ? Est ce un add-on "déconseillé" ? etc...

Joyeux Noël :lol:

Koj
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris

Messagepar Koj » 04 Jan 2006 11:35

Un petit UP :)

Koj
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris

Messagepar Koj » 04 Jan 2006 12:54

J'ai trouvé ca (with my friend google) :

Using Apache 2 with Outlook Web Access (OWA)
:arrow: http://www.wlug.org.nz/ApacheReverseProxy

Y aurait il quelqu'un qui saurait me dire s'il y a déjà une équipe sur l'intégration de mod_proxy avec IPCOP ...?

Koj
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris

Messagepar Koj » 16 Jan 2006 16:05

Personne n'utilise IPCOP pour du reverse proxy ??

Koj
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris

Messagepar Franck78 » 16 Jan 2006 20:03

Non!
Mais si tu détailles un peu ce que tu attends, on pourra peut être faire quelquechose.

IPcop, c'est d'abord un aiguillage. Pas vraiment de proxy à bord sauf le http qui est quand même un grand classique.
Le Apache, il sert uniquement pour l'interface graphique.



Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Koj » 16 Jan 2006 21:05

Salut Franck,

ISA 2004 propose une fonctionnalité (parmis un grand nombre, dont la decapsulation / detection d'intrusion / recapsulation SSL et le service de Quarantaine ) forte interessante pour faire disparaitre completement de la DMZ un serveur et ne laisse qu'un service sur une IP virtuelle et un port virtuelle. Ainsi les scan port et attaque des crackers qui serait deja dans la DMZ sont très limité. Le serveur est en faite dans le LAN et le Firewall s'occupe du traffic Internet=>DMZ. Tu vas me dire, on aurait pu faire "un forward de port dans le LAN !" Ben non car le ISA il check non seulement les entetes mimes mais aussi les verbes (autorisé pour tel ou tel requete dans SMTP par exemple EHLO + requette) et si tu fait un telnet 25 dans la DMZ ben ca repond (ipcop lui il forwarde de RED vers green donc personne repond dans ORANGE), du coup SQL et SMTP sont la mais y a personne dans ORANGE.

http://www.microsoft.com/france/events/ ... geNumber=9
prendre : Protéger Exchange Server avec ISA Server 2004 (webcast Sécurité, niveau 300)

Bon bref, moi je voudrais avoir ce type de configuration sur un IPCOP. (je reve peut etre)

Koj
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris

Messagepar Koj » 17 Jan 2006 03:10

Je viens de voir qu'on peut creer des signatures genre "check, dans le header de la chaine GET, la chaine de caractere user-agent, et si c'est la string firefox, ben tu envoie boulet le navigateur"... (Firebox affiche mal le Outlook Web Access, donc si on veut pas 100 000 appels au Help Desk, on jarte Firefox : c'est un exemple hein !!!)

Koj
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris

Messagepar Franck78 » 17 Jan 2006 03:36

J'ai du mal a voir ce que tu cherches. En tout cas je ne me taperais pas 35 minutes de ISA server pour voir ce qu'il apporte.

J'ai bien mon serveur web qui tourne sur l'IPCop depuis 2 ans. Alors 'rajouter' quelques autres fonctions est possible (si elles existent avec apache 1.3).

Essaie de cerner ce qu'il te faut.

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Koj » 17 Jan 2006 14:25

J'ai cerné depuis le premier post ce que je veux : le reverse proxy. Tout est expliqué avec le schemas du premier post, suffit de lire quoi :lol:
C'est nouveau et pas facile a imaginer, donc je comprends que tu sois un peu débousollé. J'ai bien mis 1 mois a comprendre en recherchant partout.

Koj

nb : il faut rester borner sur ipcop, chaque année ya des avancées techniques et Ipcop n'évoluer pas forcément aussi vite que les sociétés privées. exemple : snort a été racheté et sera surement intégré dans un de leur produit.
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris

Messagepar Franck78 » 17 Jan 2006 14:37

C'est pour ca que je ne peux pas passer aussi un mois à comprendre ce que IPCop doit fournir pour remplacer ISA server.

Je ne pense pas que la fonction reverse proxy soit obligatoire. Donc sans elle tu devrais déjà avoir ton schéma 'fonctionnel' non?

Puis pour ajouter du reverse proxy avec Apache, cela devient un autre problème non?
As-tu commencé par vérifier qu'il existe sous Apache 1.3 le module?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Koj » 17 Jan 2006 16:29

Koj a écrit:J'ai trouvé ca (with my friend google) :

Using Apache 2 with Outlook Web Access (OWA)
:arrow: http://www.wlug.org.nz/ApacheReverseProxy

Y aurait il quelqu'un qui saurait me dire s'il y a déjà une équipe sur l'intégration de mod_proxy avec IPCOP ...?

Koj


T'es pas bien réveiller je pense.

Proxying with Apache

The standard Apache module mod_proxy supports both types of proxy operation. Under Apache 1.x, mod_proxy only supported HTTP/1.0, but from Apache 2.0, it supports HTTP/1.1. This distinction is particularly important in a proxy, because one of the most significant changes between the two protocol versions is that HTTP/1.1 introduces rich new cache control mechanisms


source : http://www.apacheweek.com/features/reverseproxies

Et pour éclairer ta lenterne :

A Reverse Proxy Scenario
Company example.com has a website at www.example.com, which has a public IP address and DNS entry can be accessed from anywhere on the Internet.

The company also has a couple of application servers which have private IP addresses and unregistered DNS entries, and are inside the firewall. The application servers are visible within the network - including the webserver, as "internal1.example.com" and "internal2.example.com", But because they have no public DNS entries, anyone looking at internal1.example.com from outside the company network will get a "no such host" error.

A decision is taken to enable Web access to the application servers. But they should not be exposed to the Internet directly, instead they should be integrated with the webserver, so that http://www.example.com/app1/any-path-here is mapped internally to http://internal1.example.com/any-path-here and http://www.example.com/app2/other-path-here is mapped internally to http://internal2.example.com/other-path-here. This is a typical reverse-proxy situation.


Mon probleme c'estpas d'instal mod_proxy sur apach 1.3. C'est de comprendre les imbrication avec IPCOP. Genre si je met mod_proxy, est ce que squid va pas me casser les pieds ? Est qu'il y a d'autres choses à prevoir ? Et vu que la doc que j'ai date de plus d'un an, y a t il deja un projet de modification d'ipcop ?

Koj
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris

Messagepar Franck78 » 17 Jan 2006 20:32

La réponse est d'une simplicité biblique: apache ne sert à IPCop QUE pour l'interface d'administration. Qu'est-ce à dire ?
Simplement qu'il n'y a pas d'équipe qui travaille sur l'intégration de quoi que ce soit à propos d'Apache. On a déjà assez à faire avec les éléments firewall manquants (drivers wifi par exemple, plusieurs cartes réseau,...).

Ce qui veut aussi dire ? pour tout les services annexes, "aide toi et d... t'aidera" ou trouve un addon qui le fait.

Pas d'interaction avec squid à priori.

L'iso 1.4 intègre une doc en anglais et en français. Mais tu seras plus intéressé par le cvs IPCop si tu te lances dans l'écriture d'un addon.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Koj » 18 Jan 2006 14:19

A ben voilà ! C'est tout ce que je demandais comme réponse :lol:

Merci beaucoup,

Koj
nb : Merci et bonne continuation, c'est une super distrib ipcop, j'en suis super content chez moi et les asso et PME ou je l'ai mis.
Avatar de l’utilisateur
Koj
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 04 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron