[Resolu]Prob avec BlockOutTraffic

[mima]

Merci bcp tt le monde

[daoud]

a l'install BOT bloque tout donc !

tu dois creer d'abord les requetes de bases :

de green network vers -----> any : creer le port http 80 (1)
-----------------------------------------: creer le port DNS 53 tcp (pour résoudre les noms de domaines )
-----------------------------------------: --------------- smtp 25
-----------------------------------------:----------------pop 110
-----------------------------------------:----------------ftp 21
-----------------------------------------:---------------- etc....


ensuite attaque toi aux requetes d'ipcop qui sont générales communes à ttes install:
de green network vers -------> IPCPOP: creer le port 800 tCP ( voila ton futur proxy )
----------------------------------------------: --------------222 TCP (SSH pour taper tes commandes)
----------------------------------------------:--------------- 53 TCP ( idem qu'en haut requetes DNS)

ensuite pour activer ton proxy : tu désactives ton port 80 [de green vers any (1)]

puis tu parametres tes clients I.E, firefox sur : ipcop.tondomain.com port 800

et tu surf!

ceux qui ne parametront pas ne pourront surfer !

[daoud]

n'oubli pas d'activer ton proxy et de ne pas cocher ton proxy transparent


proxy transparent= pas de conf particuliere sur tes clients

proxy " en dur " = configuration nécéssaire sur tes clients


pas coché les 2 dans le tuto ci-dessus

voila mets [ resolu ] si cela t'a aidé

[mima]

Merci pour ta reponse je teste ça tout de suite et je te dis.
Par contre moi je veux faire un truc très specifique: connexion internet pour certains postes, connexion à un site particulier pour d'autres, et aucune connexion internet pour certains.
Que puis-je faire?

[m2nis]

n'oubli pas d'activer ton proxy et de ne pas cocher ton proxy transparent

Pourquoi ne pas activer le proxy transparent? Pour ma part, j'y vois au contraire beaucoup d'avantages, mais peut-être que quelque chose m'échappe?

[mima]

Mon prob n'est tjs pas résolu!!
Voilà ce que j'ai fait concernant les groupes de services:
Administration IPc - Services pour administrer le serveur IPCOP - Utilisé 1x :
IPCOP HTTPS port 445
IPCOP SSH port 222


Services IPCOP - Quelques services offerts par le serveur IPCOP - Utilisé 1x :
IPCOP Proxy port 800
domain port 53


Services par défau - Quelques services pour l'accès internet - Utilisé 1x :
smtp
smtps
pop3
pop3s
domain

NB: ici j'ai pas rajouté le service http port 80 parck je ne veux pas donner accès à internet à tout le monde.
et puis j'ai activé mon proxy...
Je comprends pas prk je dois pas laisser mon proxy transparent...bon
Je n'ai tjs pas accès au mail (entrant ou sortant)....Est ce qu'il ya un changement à faire sur les ports smtp et pop3?
Merci pour votre aide

[daoud]

@ m2nis:

Pourquoi ne pas activer le proxy transparent? Pour ma part, j'y vois au contraire beaucoup d'avantages, mais peut-être que quelque chose m'échappe?

le proxy-transparent ,cela evite de configurer tout tes clients,mais ils sont quand meme traité par le proxy (squid) sur le port 3128
le proxy (tout court) est en fait le port 800 ( par defaut) d'ipcop!


l'avantage du proxy (en dur) et:
_qu'en fermant d'abord le port 80,tout tes clients n'ont pas internets.
Si ils le veulent doivent configurer leur clients sur le proxy en dur avec son port 800 d'ipcop!

tout cela en yant installé au préalable B.O.T


et dans les 2 cas ,je pense qu'ils sont filtrés quand meme par des filtres URLFilter,squidguard,dansguardian,etc...
____________________________________________________
@ mima: As-tu installé BOT (block out traffic ?)
car je crois qu'on est pas sur les meme ondes...

[mima]

Merci pour les clarifications là je comprends mieux prk vaudrait mieux que le proxy ne soit pas transparent....Et comment savoir si mon serveur proxy est bel et bien actif?
PS: mon prob avec blockouttraffic est tjs là qui veut dire que dès que j'active le BOT je ne reçois pas de courrier, je n'envoie pas de courrier, je n'ai pas accès en SSH à la machine ipcop, et je n'ai pas accès à internet.

[daoud]

Merci pour les clarifications là je comprends mieux prk vaudrait mieux que le proxy ne soit pas transparent....Et comment savoir si mon serveur proxy est bel et bien actif?

moi c'est simple,si une personne désire se connecter à internet depuis mon réseau elle ne pourra pas puisqu'elle devra parametrer son client (proxy oblige) pour pouvoir surfer !

ensuite si tu as un serveur derriere 2 choses:

tu ouvres d'abord avec BOT tes ports 25,110,143,993,etc...

puis tu les forwarde vers l'ip de ton serveur avec transfert de ports
moi je procede comme ca!
/!\ j'ai fait une erreur sur le tuto ,je l'ai modifié /!\
---> tu devais juste laissé coché ton dns 53 dans les 2 cas en haut et plus bas ! désolé !

[mima]

est ce que tu pourrais être plus clair sur ce point:
[tu ouvres d'abord avec BOT tes ports 25,110,143,993,etc...
puis tu les forwarde vers l'ip de ton serveur avec transfert de ports ]
Je devrais ouvrir tous ces ports de green network vers any?
Pour le transfert de port, quels ports dois-je transferer?Transfert vers quel port?

[mima]

mon prob est résolu sans faire de port forwarding.
Alors voilà: j'ai du rajouter les services imap et imapd pour recevoir et envoyer du courrier.
Et puis activer le service domaine sur le port 53 (merci d'avoir rectifié ton tuto)
et puis parametrer les postes clients.

[m2nis]

l'avantage du proxy (en dur) et:
_qu'en fermant d'abord le port 80,tout tes clients n'ont pas internets.
Si ils le veulent doivent configurer leur clients sur le proxy en dur avec son port 800 d'ipcop!

Effectivement. Personnellement, j'utilise une autre technique pour un résultat un peu similaire mais permettant de ne pas avoir à configurer le client: les adresses distribuées par défaut par le serveur dhcp n'ont pas accès à internet. Les machines ayant accès à internet sont sur des adresses réservées.

[daoud]

Les machines ayant accès à internet sont sur des adresses réservées.

ah oui pas mal ca ,tu leur attribue des ip en " dur" ...
et tu regles un accès ,via BOT, pour chacunes des ip pour acceder au net!?

les adresses distribuées par défaut par le serveur dhcp n'ont pas accès à internet

permettant de ne pas avoir à configurer le client

effectivement c'est vraiment cool!

[m2nis]

ah oui pas mal ca ,tu leur attribue des ip en " dur" ...
et tu regles un accès ,via BOT, pour chacunes des ip pour acceder au net!?

Pas en dur dans la machine, mais dans le serveur dhcp d'Ipcop (Réservations DHCP fixes). Ensuite, je règle les accès par catégories d'adresses (par exemple, les 172.16.1.xxx ont certains droits que n'ont pas les 172.16.2.xxx), voire par adresses pour certaines machines, notamment celles qui ont le plus de droits.