Bonjour,
J'ai installé BOT aujourd'hui, et je me retrouve confronté a un problème de configuration...
J'ai 2 groupes a crée pour l'entreprise:
-un groupe limité qui n'a accès qu'au protocole FTP
-et le reseau VERT qui a droit a tout...
J'ai donc fait des groupes de PC :
-un groupe "LIMITED" pour acces seulement FTP,
-Le deuxieme reste le réseau VERT
Et j'ai aussi fait des groupes de services :
-Un groupe "LIMITED" qui comprend le ntp, ftp, ftps, ftp-data et le IPCop proxy ( port 800 )
-Un groupe "NO LIMIT" qui comprend ntp, IPCop proxy( port 800 ), ftp, ftps, http, https, tout les services mails... (ils n'ont besoin que de ca a priori )
Je cherche maintenant a faire les règles pour reguler un peu tout ce traffic :
->Pour les non-limités :
*Source: mon reseau VERT
*Destination: IPCOP en appliquant le groupe de service "NO LIMIT"
->Pour les limités :
*Source: Mon groupe de PC "LIMITED"
*Destination : IPCOP en appliquant le groupe de service "LIMITED"
Problème : L'acces limité limite trop, il n'y a pas accès au ftp...
J'ai vu dans le tuto qu'il fallait mettre des services vers "Acces a IPCop" et AUSSI vers l ínterface ROUGE ( Autre réseau)... Quelle est la difference ? (Rajouter une meme regle sur ces 2 interfaces me semble inutile puisque cela fonctionne en n'en mettant qu'une seule... )
Y a t'il une solution a mon problème ?
Merci
BOT configuration
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
BOT configuration
par PePiToO » 24 Jan 2007 14:16
- PePiToO
- Quartier Maître
- Messages: 21
- Inscrit le: 22 Déc 2005 23:17
Re: BOT configuration
par m2nis » 24 Jan 2007 15:43
Attention:
-les règles à destination d'Ipcop ne concernent normalement que peu de choses: l'administration, l'accès au proxy s'il est déclaré (transparent ou non), l'accès au dns si Ipcop est le serveur déclaré pour ça et éventuellement ce que j'oublie ou des petites choses comme l'accès au serveur de temps si Ipcop... Pour le reste (accès à internet), c'est dans "autre réseau" que cela se passe.
-Il faut bien garder en mémoire que les règles s'appliquent dans l'ordre, et il me semble, jusqu'au bout. Si une règle autorise tout pour vert, alors votre "limited" aura aussi accès à tout, à moins qu'une autre règle interdise tout sauf ce qui est déjà autorisé. Ou que votre groupe non limité soit non pas "vert" mais "tout sauf 'limited'".
J'espère que ces quelques remarques vous aideront.
-les règles à destination d'Ipcop ne concernent normalement que peu de choses: l'administration, l'accès au proxy s'il est déclaré (transparent ou non), l'accès au dns si Ipcop est le serveur déclaré pour ça et éventuellement ce que j'oublie ou des petites choses comme l'accès au serveur de temps si Ipcop... Pour le reste (accès à internet), c'est dans "autre réseau" que cela se passe.
-Il faut bien garder en mémoire que les règles s'appliquent dans l'ordre, et il me semble, jusqu'au bout. Si une règle autorise tout pour vert, alors votre "limited" aura aussi accès à tout, à moins qu'une autre règle interdise tout sauf ce qui est déjà autorisé. Ou que votre groupe non limité soit non pas "vert" mais "tout sauf 'limited'".
J'espère que ces quelques remarques vous aideront.
Michaël.
- m2nis
- Capitaine de vaisseau
- Messages: 335
- Inscrit le: 25 Mai 2004 17:17
- Localisation: France
par PePiToO » 28 Jan 2007 14:01
Merci pour la petite explication, mais il y a comme un probleme ...
Si j'applique seulement la règle :
Source: !(Editeurs)
Destination : accès a IPCop avec le service proxy ( port 800 ) qui est transparent et le service domain
Résultat : tout le monde a accès a Internet, même les editeurs...
Je n'ai pas encore crée de règles pour autoriser le http que tout le monde y a deja accès...BOT ne devrai pas tout interdire en sortie par default ?
D'autres exemples :
*Puisque tout est autorisé au net aparemment, je décide donc d'interdire le http au editeurs par la règle suivante :
Source : Editeurs
Destination: Toutes les interfaces Réseau avec le service HTTP en appliquant un REJECT sur cette règle...
Les Editeurs ont toujours accès au net...
*Je me dit donc que ca doit être le proxy qui crée peut etre un probleme... Je le désactive de la premiere régle...
Résultat : Plus personne n'a accès au net
Solution : Autoriser le proxy + le http sur tout les !(Editeurs)...
Résultat : toujours aucune connexion...
Je suis maintenant sur que j'ai loupé quelque chose a propose du proxy transparent... mais quoi ?
Si j'applique seulement la règle :
Source: !(Editeurs)
Destination : accès a IPCop avec le service proxy ( port 800 ) qui est transparent et le service domain
Résultat : tout le monde a accès a Internet, même les editeurs...
Je n'ai pas encore crée de règles pour autoriser le http que tout le monde y a deja accès...BOT ne devrai pas tout interdire en sortie par default ?
D'autres exemples :
*Puisque tout est autorisé au net aparemment, je décide donc d'interdire le http au editeurs par la règle suivante :
Source : Editeurs
Destination: Toutes les interfaces Réseau avec le service HTTP en appliquant un REJECT sur cette règle...
Les Editeurs ont toujours accès au net...
*Je me dit donc que ca doit être le proxy qui crée peut etre un probleme... Je le désactive de la premiere régle...
Résultat : Plus personne n'a accès au net
Solution : Autoriser le proxy + le http sur tout les !(Editeurs)...
Résultat : toujours aucune connexion...
Je suis maintenant sur que j'ai loupé quelque chose a propose du proxy transparent... mais quoi ?
- PePiToO
- Quartier Maître
- Messages: 21
- Inscrit le: 22 Déc 2005 23:17
par Titofe » 28 Jan 2007 21:35
PePitoO à dit :
Source: !(Editeurs)
Destination : accès a IPCop avec le service proxy ( port 800 ) qui est transparent et le service domain
Résultat : tout le monde a accès a Internet, même les editeurs...
L’Editeurs à dit :
Donc, comme première règle BOT, nous allons permettre aux postes du travail du réseau local (LAN) d'accéder aux services IPCop.
Donc quand tu crée cette règle tu permets à tout le réseau local à accéder à internet, donc je ne serrai pas trop étonner que ton problème viens de la, car je pense, je n’ai pas fait le test, que même si tu créer une règle pour quelque postes client, comme quoi ils ne peuvent pas accéder au net, la première que tu à créer passera très certainement en premier qui veut dire accès à internet.
Donc dans la première règle que l’éditeur ta dit de faire, tu créer avant un group au quelle tu veux donner accès au Web et tu indique ce group au lieu du réseau en entier et là les autre n’auront pas accès au web.
Et voila ton problème est régler.
Titofe
Ps : je ne suis pas très courageux, mais si tu à besoin que je rentre plus dans le détaille demande et je le ferais.
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
par PePiToO » 31 Jan 2007 18:59
la regle que tu peut voir dans le message précédent est la SEULE règle que j'ai appliqué...
Ce qui veut dire que j'ai seulement autoriser tous les non-editeurs , c ést a dire: !(editeurs) a acceder au net. Le problème est que avec cette règle, même les editeurs y ont accès....
Ce qui veut dire que j'ai seulement autoriser tous les non-editeurs , c ést a dire: !(editeurs) a acceder au net. Le problème est que avec cette règle, même les editeurs y ont accès....
- PePiToO
- Quartier Maître
- Messages: 21
- Inscrit le: 22 Déc 2005 23:17
par Titofe » 31 Jan 2007 19:23
Le mieux c’est que tu nous d’écrie la procédure que tu utilise pour donner accès à ce groupe et pas à l’autre.
Tu dois très certainement te tromper quelque part, car je te rappel que quand tu active BOT plus personne ne peux sortir (allez sur web ou autre), donc sans créer une règle pour qu’il puisse sortir je ne vois pas par quel miracle ton groupe éditeurs puisse le faire.
Titofe
Tu dois très certainement te tromper quelque part, car je te rappel que quand tu active BOT plus personne ne peux sortir (allez sur web ou autre), donc sans créer une règle pour qu’il puisse sortir je ne vois pas par quel miracle ton groupe éditeurs puisse le faire.
Titofe
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité