possibilte de faire un "filtered bridge"

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

possibilte de faire un "filtered bridge"

Messagepar jerzfr » 25 Avr 2007 19:16

Salut,

J'aimerai savoir s'il est possible de faire un pont filtrant avec ipcop ? de relier WAN et LAN par un bridge pour obtenir ceci : http://doc.m0n0.ch/handbook/examples-filtered-bridge.html

Image

J'en ai besoin dans un milieu professionnel, donc stable.

M0n0wall faisait parfaitement l'affaire jusquau moment ou je me suis redu compte que j'aurai besoin de fonctionnalites de
proxy HTTP + filtrage (squidGuard∞ url filtering tool) et
proxy smtp (protection antivirus pour exchange2007 Copfilter plugin)

si vous avez des retours d'experiences sur ces deux addons, je suis egalement preneur :

-SquidGuard url filtering tool http://franck78.ath.cx/
-Copfilter plugin http://www.copfilter.org/
-OpenVpn http://www.zerina.de/


Merci a tous !
jerzfr
Matelot
Matelot
 
Messages: 2
Inscrit le: 25 Avr 2007 19:02

Messagepar jdh » 25 Avr 2007 20:16

"un milieu professionnel donc stable" cela va faire plaisir aux créateurs/développeurs de monowall !

PFsense est une alternative à monowall qui semble prometteuse. Execute-t-elle toutes les fonctions ?

Par contre, en matière de sécurité, il faudrait peut-être penser à ne pas multiplier les fonctions au niveau du firewall. Cette accumulation de fonctions ne peut que fragiliser le firewall. Dans un contexte professionnel, il vaut mieux mettre plusieurs machines pour répartir la puissance et limiter les risques. Chaque machine exécutant moins de fonctions sera plus stable.

Ensuite un bon schéma est plutôt un schéma routé ou naté et non un schéma en bridge..

Je ne crois pas qu'IPCOP soit prévu pour fonctionner en bridge.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 25 Avr 2007 20:50

Je ne suis pas non plus partisant de "charger" le firewall d'autre chose que d'être ... un firewall. Chacun verra midi à sa porte. Toutefois une passerelle smtp qui assure le filtrage antivirus (et l'antispam est devenu aussi essentiel) est une machine fort sollicitée. Je n'aimerai pas bloquer toutes communications avec l'extérieur pour cause de surchrage quelconque d'une passerelle SMTP.

Pour Zerina, l'ayant déployé à plusieurs reprises, je puis vous assurer de ses bons et loyaux services. C'est d'une stabilité remarquable (comme ipcop). Avec 50 utilisateurs, des connexion en tous genres (gprs, 3G, Cable, ADSL, RTC) aucun problème rencontré. Utilisation avec le client OpenVPN et son interface graphique. IPCop 1.4.13 et Zerina qui va avec. Vieux Proliant 3000 PII 300 - 380Mo de RAM, raid matériel.

Pas d'expérience significative pour moi avec les proxy.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jerzfr » 25 Avr 2007 21:30

M0n0wall est super, j'adorre la stabilite, l'interface tres tres claire, les fonctionalite quand meme avancees.

l'avantage d'un bridge est que les serveurs, freebsd en serveurs de courriel ici, dialoguent sur une interface pulique, ca rend les configs plus simple et plus efficaces (ftp, antispam).

pfsense est envisageable, mais de toutes facons il n'apporte pas les plugins necessaires ( pas de smtp antivirus, et squid a pas l'air de bien fonctionner ).


sur le principe, oui un proxy est a separer d'un firewall, c'est sur. tout depend du volume et de la machine sur laquelle tourne les softs aussi, nous n'avons pas trop de volume et le pc sera puissant.

merci de votre aide, et si vous avez d'autres conseils, notament sur la stabilite des plugings proxy smtp et http, je suis preneur.

Egalement, si quelqun sais si on peut utiliser ipcop comme ridge ca me branche toujours.

merci a tous !
jerzfr
Matelot
Matelot
 
Messages: 2
Inscrit le: 25 Avr 2007 19:02

Messagepar ccnet » 25 Avr 2007 22:35

Egalement, si quelqun sais si on peut utiliser ipcop comme ridge ca me branche toujours.


A mon avis la répons est non. IPCOP route. Il n'est pas, que je sache, un pont filtrant et je ne vois aucun paramètre suceptible de changer cela.

Pour la partie SMTP j'utilise F-secure SMTP Gateway. Je vais évaluer l'alternative SME + Clam + Spam Assasin + GreyList sur une machine dédiée à cette tâche.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar tomtom » 26 Avr 2007 08:18

C'est très difficile de transformer IPCop en bridge et déconseillé. (trop de modifications par rapport à la base).

Tu peux regarder du coté de censornet qui est réputée très bien fonctionner en mode bridge !
Par ailleurs, des produits payants de censornet (mailsafe par exemple) sont très très efficaces et avec un bon support.


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité