Filtrer différent réseau avec un seul ipcop est ce possible

[cocolapin21]

Bonjour,

voici ma config

Ipcop ne mais utile que pour filtrer les pages web
ipcop 1.4.15 + advproxy + urlfilter

Site 1 : 192.168.1.x /24
ipcop
green : 192.168.1.9
red : 192.168.1.8

Site 2 distant : 192.168.10.x /24
pas d'ipcop

Une vpn est réalisée entre les deux sites grace à des routeurs (pas ipcop).

Sur le site 1 pas de problème, les pages sont filtrées.

Sur le site 2 j'ai essayé 2 solutions mais sans succès
1ere : dans IE7 je mais les paramètres réseau du proxy : 192.168.1.9 port 800
2eme : dans les propriété de la carte réseau je mais une ip fixe : 192.168.10.xxx /24
passerelle par défaut : 192.168.1.9
dns : 192.168.1.9

Mais cela ne fonctionne Pas

doit-ont autoriser le réseau 192.168.10.x du site 2 et si oui comment

Ou sinon avez-vous une idée ou mieux la solution

[cocolapin21]

dans proxy avancé

Contrôle des accès par le réseau

Sous-réseaux permis (un par ligne):
192.168.1.0/255.255.255.0
j'ai rajouté 192.168.10.0/255.255.255.0

Cela ne change rien

Une idée

[ccnet]

Site 1 : 192.168.1.x /24
ipcop
green : 192.168.1.9
red : 192.168.1.8

Lire la doc. IPCOP n'est pas fait pour fonctionner comme cela.

[cocolapin21]

Je sais, mais sur le site 1 cela fonctionne très bien.

Avec notre routeur je bloque toutes sorties, sauf celles des serveurs.
Sur advproxy je mets en mode transparent, et je mets dans le DHCP que la passerelle par défaut et le serveur DNS sont mon green d'ipcop 192.168.1.9 .


Là ou est mon problème c'est pour filtrer un réseau distant.

Depuis un poste du site 2 (192.168.10.x) j'arrive à pinguer le green 192.168.1.9
Mais si je modifie la passerelle et le DNS je n'ai plus de connexion internet.

Ma question est faut il autoriser ce réseau ? Et si oui comment ?


Ps :Oui je sais que normalement les 2 interfaces green et red sont sur 2 réseaux différents.
Mais même si c'est un moyen détourner d'utiliser ipcop, Pourquoi pas ?

[ccnet]

Pourquoi pas ?

Parce que lorsqu'on utilise un produit en dehors de ses spécifications ou dans une configuration qui n'est ni supportée, ni testée, ni conseillée, il faut s'attendre à avoir des ennuis avec le dit produit.

Maintenant si c'est votre façon de travailler, il faut aussi vous attendre à devoir vous débrouiller seul.

[Franck78]

Salut

L'idée première c'est apprendre à faire des phrases avec un verbe . Par respect pour les lecteurs.
Le verbe 'mettre' conjugué, n'est pas 'mais'.

La deuxième est de donner une IP correcte à RED quitte à ne pas la brancher (la carte). Tout passe alors par GREEN.

La troisième est de vérifier avec tcpdump qu'une requète depuis la réseau distant arrive bien sur l'IPCop.

La quatrième est de lire la doc de squid en parallèle avec le squid.conf généré. Pour par exemple y trouver des 'acl IPCop_networks src 10.0.0.0/255.255.0.0' et ainsi comprendre pourquoi il n'y aurait pas de réponse (positive).

La cinquième idée, justement, vérifier que la réponse retrouve bien sa route vers le réseau distant!

Voila.

Bye

[cocolapin21]

Pourquoi pas ?

Parce que lorsqu'on utilise un produit en dehors de ses spécifications ou dans une configuration qui n'est ni supportée, ni testée, ni conseillée, il faut s'attendre à avoir des ennuis avec le dit produit.

Maintenant si c'est votre façon de travailler, il faut aussi vous attendre à devoir vous débrouiller seul.

Je n'ai pas la prétention d'être un chercheur, un inventeur ou autre chose, mais si toutes les personnes n'étaient jamais sortie des limites beaucoup de choses n'exciteraient pas aujourd'hui.

Cordialment,

PS : je ne cherche pas à refaire ipcop, je fais juste des tests.

[cocolapin21]

Je sais, mais sur le site 1 cela fonctionne très bien.

Avec notre routeur je bloque toutes sorties, sauf celles des serveurs.
Sur advproxy je mets en mode transparent, et je mets dans le DHCP que la passerelle par défaut et le serveur DNS sont mon green d'ipcop 192.168.1.9 .


Là ou est mon problème c'est pour filtrer un réseau distant.

Depuis un poste du site 2 (192.168.10.x) j'arrive à pinguer le green 192.168.1.9
Mais si je modifie la passerelle et le DNS je n'ai plus de connexion internet.

Ma question est faut il autoriser ce réseau ? Et si oui comment ?


Ps :Oui je sais que normalement les 2 interfaces green et red sont sur 2 réseaux différents.
Mais même si c'est un moyen détourner d'utiliser ipcop, Pourquoi pas ?

Salut

L'idée première c'est apprendre à faire des phrases avec un verbe . Par respect pour les lecteurs.
Le verbe 'mettre' conjugué, n'est pas 'mais'.

Je ne vois pas la dite faute, sinon même si mon orthographe laisse à désirée, je trouve que personnellement je fais des efforts, je n'écris pas en langage sms ? Et de plus, somme nous sur un forum ou à la dictée de M. Pivot?

La deuxième est de donner une IP correcte à RED quitte à ne pas la brancher (la carte). Tout passe alors par GREEN.

Ok, j'ai mis une IP 172.16.1.50 en red cela fonctionne mais avec le câble branché.

Pour le reste je vais éssayer.


Ps : merci pour le site " le conjugueur "

[Franck78]

Je rajouterais aussi le verbe être conjugué:

"Ipcop ne mais utile que"

Mettre:
"dans IE7 je mais les paramètres"

J'admet volontier que le reste est correct et lisible

Ok, j'ai mis une IP 172.16.1.50 en red cela fonctionne mais avec le câble branché.

c'est possible, oui. Mais pas vraiment utile.

Suite à cette plongée dans les bases de la grammaire, nous attendons la suite de tes investiguations sur le chemin du paquet IP


Bye

[cocolapin21]

avec ethereal je récupère cela (ou 192.168.10.117 est un poste xp2 sur le site2, je lance Wireshark(ethereal), j'ouvre ie7 )


No. Time Source Destination
1468 12.004760 192.168.10.117 192.168.1.9
Protocol Info
TCP 1514 > 800 [SYN] Seq=O I,en=O MSS=1460

Frame 1468 (62 bytes on wire, 62 bytes captured)
Arriva1 Time: Aug 16, 2007 11:22:40.538297000
[Time delta £rom previous captured frame: 0.007463000 secondsl
[Time delta £rom previous displayed frame: 0.007463000 secondsl
[Time since reference or first frame: 12.004760000 secondsl
Frame Number: 1468
Frame Length: 62 bytes
Capture Length: 62 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:tcp]
[Coloring Rule Name: TCP SYN/FIN]
[Coloring Rule String: tcp.flags & 0x02 I I tcp.flags.fin == 11
Ethernet IL, Src: HewlettP 83:b6:59 (xx:xx:xx:83:b6:59), Dst: ZyxelCom-38:bd:8e (xx:xx:xx:38:bd:8e)
Destination: ZyxelCom 38:bd:ae (xx:xx:xx:38:bd:8e)
Address: ZyxelCom 38:bd:ae (xx:xx:xx:38:bd:8e)
. . . . . . . O . . . . . . . . . . . . . . . . = IG bit: Individual address (unicast)
. . . . ..o. . . . . . . . . . . . = LG bit: Globally unique address (factory default)
Source: HewlettP 83:b6:59 (xx:xx:xx:83:b6:59)
Address: HewlettP 83:b6:59 (xx:xx:xx:83:b6:59)
. . . . . . . O . . . . . . . . . . . . . . . . = IG bit: Individual address (unicast)
. . . . ..O. . . . . . . . . . . . . . . . . = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Internet Protocol, Src: 192.168.10.117 (192.168.10.117), Dst: 192.168.1.9 (192.168.1.9)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
Total Length: 48
Identification: Oxc685 (50821)
Flags: 0x04 (Don1t Fragment)
Fragment offset: O
Time to live: 128
Protocol : TCP (0x06)
Header checksum: Oxa773 [correct]
Source: 192.168.10.117 (192.168.10.117)
Destination: 192.168.1.9 (192.168.1.9)
Transmission Control Protocol, Src Port: 1514 (1514), Dst Port: 800 (800) , Seq: O, Len: O
Source port: 1514 (1514)
Destination port: 800 (800)
Sequence number: O (relative sequence riumber)
Header length: 28 bytes
Flags: 0x02 (SYN)
Window size: 65535
Checksum: Oxfa43 [correct]
Options: (8 bytes)

Soyons franc, cela ne m'aide pas, avez vous une idée?

[Poupou94]

Bonjour,

2eme : dans les propriété de la carte réseau je mais une ip fixe : 192.168.10.xxx /24
passerelle par défaut : 192.168.1.9
dns : 192.168.1.9

Mais cela ne fonctionne Pas

Pas vraiment étonnant la passerelle par défaut doit être dans le même réseau que la carte autrement comment veux tu qu'il la trouve?



Pascal.

[cocolapin21]

Bonjour,

Pas vraiment étonnant la passerelle par défaut doit être dans le même réseau que la carte autrement comment veux tu qu'il la trouve?

Pascal.

Justement c'est là ou es le problème, je ne sais comment faire.

Entre les deux réseaux il y a une VPN.

En ce moment le réseau 192.168.10.x (site2) à pour passerelle 192.168.10.1

Je veux que le réseau distant 192.168.10.x passe par mon serveur ipcop (site 1) 192.168.1.9
Donc dans ie7 j'ai mis dans le proxy 192.168.1.9 : 800

Cela dans le but de tout centraliser sur le site 1 et d'obliger le site 2 à passer par le site 1 pour aller sur internet.

Es-ce possible

Merci d'avance

[Franck78]

Ethernet IL, Src: HewlettP 83:b6:59 (xx:xx:xx:83:b6:59), Dst: ZyxelCom-38:bd:8e (xx:xx:xx:38:bd:8e)
Destination: ZyxelCom 38:bd:ae (xx:xx:xx:38:bd:8e)
Address: ZyxelCom 38:bd:ae (xx:xx:xx:38:bd:8e)

Je ne sais qui perd son temp a masquer de l'info publique http://www.cavebear.com/archive/cavebea ... endor.html

En tout cas, wireshark sur une machine qui n'est pas l'ipcop, c'est trop éloigné du simple besoin de diag:
-un paquet arrive-t-il avec IP source réseau distant, port du proxy (800), sur l'IPCop
-en repart-il vers la bonne direction

tcpdump sur ipcop. rien de plus.

[Poupou94]

Bonjour,


Je veux que le réseau distant 192.168.10.x passe par mon serveur ipcop (site 1) 192.168.1.9
Donc dans ie7 j'ai mis dans le proxy 192.168.1.9 : 800

Cela dans le but de tout centraliser sur le site 1 et d'obliger le site 2 à passer par le site 1 pour aller sur internet.

Es-ce possible

Merci d'avance

Dans ton cas il faudrait que le routeur qui supporte le vpn du site 2 aie comme passerelle par défaut le routeur VPN du site 1 et que le routeur VPN du site 1 aie lui comme passerelle par défaut 192.168.1.9.

Pour le retour le routeur VPN du site 1 doit avoir une route via le routeur VPN du site 2 pour atteindre 192.168.10.x/24

Par contre, il ne faut pas que l'accès à Internet depuis le site 1 se fasse par le routeur VPN1.

D'ailleurs tu ne nous as pas précisé par quel passerelle le site 1 atteint Internet ?

Pascal.

[cocolapin21]

D'ailleurs tu ne nous as pas précisé par quel passerelle le site 1 atteint Internet ?

Pascal.

C'est le routeur 192.168.1.1 qui est la passerelle pour le site1