[resolu] BOT problème etrange ...

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[resolu] BOT problème etrange ...

Messagepar bodhiryu-sama » 11 Fév 2008 13:00

Bonjour a tous!

J'ouvre se topic, car après avoir du réinstaller encore une fois mon ipcop a cause d'une carte réseau défectueuse je rencontre un nouveau problème quelque peu étrange avec mon BOT (3.0).
J'ai suivit scrupuleusement le tutoriel "officiel" et jusque la tout marche.
C'est au bout d'un certain temps que vient le problème. Je suis en même temps sur divers site que je peu réactualisé/fermer-relancer(en vidant cache ou filtre desactivé) sans aucun problème mais lorsque je veux faire une recherche grâce a la toolbar google de firefox ou en saisissant www.google.fr dans la barre d'url j'obtient un
Serveur introuvable

Firefox ne peut trouver le serveur à l'adresse www.google.fr.
...blablabla...


J'ai advproxy et urlfilter d'installer sur l'ipcop (.18) que je désactive pour les test.

Quelqu'un peu t"il m'éclairait?
Dernière édition par bodhiryu-sama le 12 Fév 2008 11:52, édité 1 fois au total.
Avatar de l’utilisateur
bodhiryu-sama
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 08 Jan 2008 11:33

Messagepar ccnet » 11 Fév 2008 13:51

A première vue cela ressemble à un problème de résolution de nom ...
Comment est votre configuration dns pour le poste client ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar bodhiryu-sama » 12 Fév 2008 10:00

J'aurai du le préscisé avant, la configuration dns de mon poste client pointe sur un serveur DNS en interne.
Ma configuration pour les test peu p-e paraitre un peu particulière, autant que je vous la donne:

- Mon client est bien sur le reseau vert (192.168.2.X)
-Le LAN me sert en fait de reseau rouge (192.168.1.X)
- Le DNS est donc sur le LAN en X.X.1.200
-L'ipcop a donc deux interfaces
- La box internet est sur le reseau LAN

Je vous donne aussi les rêgles actuelles de mon cop (qui sont exactement les même que sur le tutoriel):

* Green Green Network => IPCop : Service Ipcop Service fourni par IPcop
(ipcop proxy,domain (effacer), ntp, bootpc, bootps)

* Green Green Network => Any : Service par defaut Service d accès a internet
(smtp, smtps,pop, pop3, imap, imaps, domain (ajouter))

Maintenant que vous posez la question et que je prend un peu de recul, mon ipcop, ne faisant pas DNS, le "port domain" devrait'il être dans les services internet?

Une autre question, montant cet ipcop pour un ensemble scolaire, il est censé devenir une solution de remplacement a un matériel arkoon (payant et couteux), je sais bien qu'il y a des différences entre tout les reseaux, mais quels ports me conseilleriez vous d'ouvrir en dehors des deux rêgles si dessus?


EDIT: Je me repond tout seul pour ma première question , j'ai été un peu (beaucoup?) idiot de pas avoir vu ceci plus tôt, la resolution DNS ne se faisant pas sur l'ipcop le port 53 n'avait rien a faire a cet endroie. Je l'ai donc place dans mes services d'accès au net (en rouge si dessus)
Avatar de l’utilisateur
bodhiryu-sama
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 08 Jan 2008 11:33

Messagepar ccnet » 12 Fév 2008 10:11

- Mon client est bien sur le reseau vert (192.168.2.X)
-Le LAN me sert en fait de reseau rouge (192.168.1.X)
- Le DNS est donc sur le LAN en X.X.1.200
-L'ipcop a donc deux interfaces
- La box internet est sur le reseau LAN


Il semble que vous utilisez ipcop d'une façon qui n'est pas supportée par le logiciel. Ne vous étonnez pas des problèmes. Je sens que nous devrions repartir à la base. Quelles sont les raisons dans votre cas qui nécessitent une configuration aussi curieuse que je ne suis pas certain de comprendre d'ailleurs. Quand je lis
La box internet est sur le reseau LAN
et
-Le LAN me sert en fait de reseau rouge
je ne comprend pas ce que vous vouslez faire et j'aurai tendance à vous dire que je ne vois pas comment cela pourrait fonctionner normalement.

Si vous voulez de l'aide :
Adresse IP RED, adresse ip green, adresse ip box, box pont ou routeur, FAI ?

Marche à suivre : une configuration ipcop correcte et fonctionelle avec BOT désactivé, puis on active BOT après avoir déterminé les règles à mettre en place.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar bodhiryu-sama » 12 Fév 2008 10:53

J'utilise cette configuration sur demande de mon maitre de stage qui ne veut pas désactiver son arkoon pour garder son réseau protéger en attendant . Cette configuration lui a été conseillé par un des ces collègues administrateur reseau d'un autre collège ayant testé un ipcop. Donc que je vous explique correctement :
Ma machine est censé simulé le reseau LAN, le LAN du collège apparait pour moi sur la pate rouge de mon ipcop:
Schématiquement

Moi (concidéré comme LAN: 192.168.2.X)----(192.168.2.254)IPCOP(192.168.1.254)----reseau LAN (concidéré comme rouge:192.168.1.X)----(192.168.1.1)Arcoon----box internet----Internet

La box internet est en mode pont, et le FAI est orange.

En ce qui concerne mon accès au net avec BOT, tout était fonctionnel, le proxy et le filtre d'url fonctionnaient correctement. C'est par la suite en activant bot que j'ai rencontré le problème. Suite a votre précédent message, j'ai réalisé que mon ipcop n'était pas serveur DNS et donc que j'avais mal construit mes rêgles. Je les ai modifié comme expliqué plus haut et cella fonctionne. (Maintenant même si se n'est qu'un test est-ce vraiment correct?!)
Avatar de l’utilisateur
bodhiryu-sama
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 08 Jan 2008 11:33

Messagepar ccnet » 12 Fév 2008 11:09

C'est clair maintenant. La livebox n'est pas dans le Lan, elle est bien à sa place. C'est correct (approximativement, car cette configuration comporte finalement 3 translations pour un paquet qui vient réellement d'internet) sauf pour la partie DNS qui n'est pas très réaliste. A moins que les postes clients n'utilisent que le(s) dns interne(s) qui ne sont pas ipcop mais une autre machine.
Le problème est aussi, pour ce qui concerne les flux réellement destinés ou en provenance d'internet, que le fonctionnement est tributaire des règles en place sur Arkoon. Ce qui n'est pas forcément facile pour y voir clair.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar bodhiryu-sama » 12 Fév 2008 11:17

A moins que les postes clients n'utilisent que le(s) dns interne(s) qui ne sont pas ipcop mais une autre machine.


En effet tout les poste clients utilise le dns interne .

Le problème est aussi, pour ce qui concerne les flux réellement destinés ou en provenance d'internet, que le fonctionnement est tributaire des règles en place sur Arkoon. Ce qui n'est pas forcément facile pour y voir clair.


Je ne peu qu'être d'accord avec vous : exemple type: msn messenger est bloqué niveau arkoon je ne peu savoir si ce que j'ai moi même fait fonctionne ou pas. Ma seule solution est de partir avec la machine sous le bras et de tester chez moi.
Avatar de l’utilisateur
bodhiryu-sama
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 08 Jan 2008 11:33

Messagepar ccnet » 12 Fév 2008 11:37

Ma seule solution est de partir avec la machine sous le bras et de tester chez moi.

Là encore vous aller introduire de nouvelles variables que vous ne pouvez pas maitriser surtout si le FAI et la box sont différents. Vous pourrez tester le blocage ou non de MSN par exemple, mais il y d'autres paramètres moins évident comme la messagerie. Certains opérateurs limitent par exemple le trafic SMTP. Sur une configuration Free le smtp entrant est fermé mais on peut le changer. Bref ce n'est pas évident. Il me souhaite à vous souhaiter bon courage.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar bodhiryu-sama » 12 Fév 2008 11:42

A oui , en effet j'avais oublié ceci >___<

Enfin, merci encore pour votre aide ^___^
Avatar de l’utilisateur
bodhiryu-sama
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 08 Jan 2008 11:33


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron