Salut
Je teste ipcop depuis une semaine. J'ai lu la doc d'installation, le quick start et toutes les faq (si si). Cela fait beaucoup de lecture et je m'embrouille sur certains points.
Pour clarifier, jai des connaissances réseau mais d'avantage sur les équipements actifs (switch routeur) que sur les applicatifs réseaux.
J'ai réussi à installer la version 1.4.11 avec les réseaux vert, orange, rouge.
Mes serveurs http et ftp de la dmz (orange) sont visibles depuis le réseau rouge.
L'accès SSH sur IPCop depuis le réseau rouge fonctionne.
Le réseau vert accéde au rouge sans aucun problème.
Mes doutes et mes questions :
Le réseaux vert accède aux serveurs du réseau orange par défaut, est-ce normal ?
Sur mes serveurs de la dmz, que dois-je mettre comme dns ?
Je ne comprends pas l'intérêt de l'onglet: Pare feu -> Accès à la DMZ
qui me donne un sens unidirectionnel Orange -> Vert
À quoi cela sert ?
Pour finir, j'ai essayé la configuration squid en l'activant sur GREEN. Je n'ai fait que cette manip sur ipcop concernant squid. Que je régle les navigateurs pour passer par le proxy (port 800) où que je ne règle aucun proxy sur les navigateurs du réseau vert, le résultat est le même, le surf internet est possible. Un "netstat" me confirme une connexion "established" sur le port 800 ou 80 selon le navigateur avec ou sans proxy.
Il y a certainement quelque chose que j'ai raté ! ... et je tourne en rond !
Merci pour toutes vos lumières pour chacune de mes nombreuses questions.
librement
nono
petite synthèse sur IPCop
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
petite synthèse sur IPCop
par nonotux » 07 Déc 2006 20:34
- nonotux
- Matelot
- Messages: 5
- Inscrit le: 07 Déc 2006 19:57
Re: petite synthèse sur IPCop
par m2nis » 08 Déc 2006 08:30
nonotux a écrit:J'ai lu la doc d'installation, le quick start et toutes les faq (si si).
Vu ce que vous avez déjà réussi à faire, on (moi en tous les cas
) veut bien vous croire.nonotux a écrit:Le réseaux vert accède aux serveurs du réseau orange par défaut, est-ce normal ?
Oui, cela fait partie des règles par défaut d'Ipcop.
nonotux a écrit:Sur mes serveurs de la dmz, que dois-je mettre comme dns ?
Je n'ai plus d'orange, mais de mémoire, Ipcop peut être déclaré comme serveur DNS. Sinon, prendre ceux du fournisseur.
nonotux a écrit:Je ne comprends pas l'intérêt de l'onglet: Pare feu -> Accès à la DMZ
Je n'ai jamais utilisé, et maintenant, utilisant BOT (blockouttraffic), je ne pense pas en avoir encore besoin.
nonotux a écrit:Pour finir, j'ai essayé la configuration squid en l'activant sur GREEN. Je n'ai fait que cette manip sur ipcop concernant squid. Que je régle les navigateurs pour passer par le proxy (port 800) où que je ne règle aucun proxy sur les navigateurs du réseau vert, le résultat est le même, le surf internet est possible.
Par défaut, Ipcop autorise tout le trafic de vert vers rouge. Il vous faut donc refuser les sorties sur le port 80 pour que vos utilisateurs soient obligés d'utiliser le proxy.
- m2nis
- Capitaine de vaisseau
- Messages: 335
- Inscrit le: 25 Mai 2004 17:17
- Localisation: France
par tomtom » 08 Déc 2006 09:47
EN voila une question qui fait plaisir à lire
Je complète la réponse :
Tout à fait, de même que les postes accèdent au rouge sans restriction.
Pour modifier ce comportement, il faut utiliser le module BOT (Block Out Traffic).
Il y a quelques temps, il fallait mettre pour une obscure raison les DNS de ton FAI (ou un DNS public Internet). Je ne sais pas si les dernières version d'IPCop ont conservé ce mode de fonctionnement.
C'est une traduction un peu spécial de anglaises "pinholes". Cela peut permettre d'autoriser par exemple un serveur web situé sur la DMZ à interroger une base de donnée plus "protégée" sur le vert. Mais en temps normal, c'est une architecture déconseillée.
En fait, cela peut rendre des services si des machines "orange" doivent accèder à des services "vert", mais bien sur cela décloisonne la DMZ...
Le role du proxy est d'accelerer les connexions internet en mettant en cache les fichiers souvent demandés, pas de bloquer les accès (même s'il peut le faire).
TU peux deja mettre ton proxy en mode transparent, comme ça tu n'auras pas à configurer les postes clients et tout le monde passera par le proxy.
Le mieux est alors d'utiliser BOT pour bloquer les accès sortants directs, et squidgard par exemple pour limiter l'utilisation du proxy (filtres sur adresses, sur noms de domaines, etc. )
Bonne continuation et n'hésite pas si tu as d'autres questions !
t.
Je complète la réponse :
Le réseaux vert accède aux serveurs du réseau orange par défaut, est-ce normal ?
Tout à fait, de même que les postes accèdent au rouge sans restriction.
Pour modifier ce comportement, il faut utiliser le module BOT (Block Out Traffic).
Sur mes serveurs de la dmz, que dois-je mettre comme dns ?
Il y a quelques temps, il fallait mettre pour une obscure raison les DNS de ton FAI (ou un DNS public Internet). Je ne sais pas si les dernières version d'IPCop ont conservé ce mode de fonctionnement.
Je ne comprends pas l'intérêt de l'onglet: Pare feu -> Accès à la DMZ
qui me donne un sens unidirectionnel Orange -> Vert
À quoi cela sert ?
C'est une traduction un peu spécial de anglaises "pinholes". Cela peut permettre d'autoriser par exemple un serveur web situé sur la DMZ à interroger une base de donnée plus "protégée" sur le vert. Mais en temps normal, c'est une architecture déconseillée.
En fait, cela peut rendre des services si des machines "orange" doivent accèder à des services "vert", mais bien sur cela décloisonne la DMZ...
Pour finir, j'ai essayé la configuration squid en l'activant sur GREEN. Je n'ai fait que cette manip sur ipcop concernant squid. Que je régle les navigateurs pour passer par le proxy (port 800) où que je ne règle aucun proxy sur les navigateurs du réseau vert, le résultat est le même, le surf internet est possible. Un "netstat" me confirme une connexion "established" sur le port 800 ou 80 selon le navigateur avec ou sans proxy.
Il y a certainement quelque chose que j'ai raté ! ... et je tourne en rond !
Le role du proxy est d'accelerer les connexions internet en mettant en cache les fichiers souvent demandés, pas de bloquer les accès (même s'il peut le faire).
TU peux deja mettre ton proxy en mode transparent, comme ça tu n'auras pas à configurer les postes clients et tout le monde passera par le proxy.
Le mieux est alors d'utiliser BOT pour bloquer les accès sortants directs, et squidgard par exemple pour limiter l'utilisation du proxy (filtres sur adresses, sur noms de domaines, etc. )
Bonne continuation et n'hésite pas si tu as d'autres questions !
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par Franck78 » 08 Déc 2006 10:46
tomtom a écrit:Il y a quelques temps, il fallait mettre pour une obscure raison les DNS de ton FAI (ou un DNS public Internet). Je ne sais pas si les dernières version d'IPCop ont conservé ce mode de fonctionnement.
Dans l'absolu, un serveur n'a pas besoin de résoudre des noms en IP. Il sert des clients.
Théoriquement, il n'y a pas de machine type workstation en DMZ.
Ouvrir le service obligeait surement à quelques manips supplémentaires dans le script iptables;
Enfin bref, puisque 'orange->red' est ouvert, mettre un dns exrérieur parait logique.
Franck
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par tomtom » 08 Déc 2006 11:01
C'est bien ce que je disais, c'est obscur 
Les serveurs ont quand même pas mal besoin de verifier des dns (les serveurs de mail en particulier peuvent être configurés pour n'accepter que les mails venant d'un serveur identifié comme mx)
Il me semble que le demon n'ecoutait pas sur l'interface orange avant.... Bref, aparemment c'est toujours comme ça
A+
Les serveurs ont quand même pas mal besoin de verifier des dns (les serveurs de mail en particulier peuvent être configurés pour n'accepter que les mails venant d'un serveur identifié comme mx)
Il me semble que le demon n'ecoutait pas sur l'interface orange avant.... Bref, aparemment c'est toujours comme ça
A+
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par Franck78 » 08 Déc 2006 12:05
Ca génère tellement de bruit dans les forums support ipcop ce truc qu'on lui réglera surement son compte. Gesp?
La raison exacte se trouve surement au fin fond d'une liste de discussion. Jusqu'à 1.4.11, c'est clair, pas de service de nom pour orange.
La raison exacte se trouve surement au fin fond d'une liste de discussion. Jusqu'à 1.4.11, c'est clair, pas de service de nom pour orange.
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par nonotux » 08 Déc 2006 13:32
Merci à tous pour vos contributions rapides, précises et claires.
Je vais donc pouvoir m'atteler sur BOT et le mode transparent du proxy. J'avais effectivement dèjà vu cet acronyme sur ce forum mais je n'avais pas percuté. Je ne pensais pas que cet "addon" m'était indispensable mais maintenant il me semble incontournable pour le type de configuration que je souhaite réaliser.
Merci à tous et à bientôt (peut être pour des réponses plutôt que pour des questions
selon mon niveau de compétence.
nono
Je vais donc pouvoir m'atteler sur BOT et le mode transparent du proxy. J'avais effectivement dèjà vu cet acronyme sur ce forum mais je n'avais pas percuté. Je ne pensais pas que cet "addon" m'était indispensable mais maintenant il me semble incontournable pour le type de configuration que je souhaite réaliser.
Merci à tous et à bientôt (peut être pour des réponses plutôt que pour des questions
selon mon niveau de compétence.
nono
- nonotux
- Matelot
- Messages: 5
- Inscrit le: 07 Déc 2006 19:57
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité