Peut on autoriser tout traffic entrant sur l'interface RED ?

[jpa28]

Bonjour,

Je sais que ma question peut surprendre.

En fait, mon réseau est déja protégé des attaques extèrieures par un pare-feu Arkoon.
mais sur ce matériel, les outils pour filtrer le traffic et les outils de statistiques sont moins interressants voir en option (white lists).

Je voudrais filtrer le traffic sortant par un IPcop avant de l'envoyer vers l'Arkoon.
Par contre je veux autoriser le traffic entrant sur RED (venant de l'arkoon), car il y a des connexions VPN paramétrées sur l'Arkoon.

Est il possible de modifier la config de l'interface rouge pour autoriser tout traffic entrant ?

Merci d'avance...

[ccnet]

Pourquoi faire simple quand on peut faire compliqué n'est ce pas ?
Je vois pas mal de difficultés. L'adressage d'abord, puisqu'il ne faut pas perdre de vue que red et green doivent être dans des réseau différents. En clair il falloir changer le numéro de réseau sur l'interface lan de l'arkoon, ce qi n'est pas forcément sans conséquence.
Ensuite vous aurez deux nat puisque ipcop ne fonctionne qu'en nat.
Ouvrir un port sur ipcop c'est mettre en place une translation vers une machine cible et pas mettre l'interface dans un mode pont.
Une chose m'étonne : pas de dmz avec votre configuration Arkoon ? Parce que je ne vois pas quel trafic initié de l'extérieur vous voudriez autoriser vers le lan ? Red autorise tout ce qui est réponse à un trafic initié depuis green ou orange. Et a priori vous ne devriez avoir que ce type de trafic entre le lan et l'extérieur. Le reste c'est pour la dmz.

[jpa28]

merci ccnet pour cette réponse.

RED et GREEN seront évidemment dans un adressage différent, il faudra que je modifie la config de l'Arkoon mais ceci n'est pas problèmatique.

Je travaille dans un hopital ou nous avons mis en place des astreintes de WE pour dépanner les utilisateurs. Le technicien qui est d'astreinte peut accéder depuis son domicile aux machines de l'ensemble du LAN via une connexion VPN configurée sur l'Arkoon.

De plus nous avons des contrats d'assistance avec certains éditeurs de logiciel qui se connectent sur notre réseau via VPN pour nous dépanner ou appliquer des mises à jour.

Dans ce contexte, il faut que j'autorise le traffic venant de l'Arkoon vers mon LAN (je ne peux pas me contenter d'un transfert de port).

Je précise que je n'ai pas d'autre interface disponible sur l'Arkoon, sinon j'aurais utiliser 2 interfaces:
- Une pour le traffic sortant (IPCOP-> ARKOON)
- Une pour le traffic entrant (ARKOON -> LAN)

Je sais que depuis l'interface de l'IPCOP on peut seulement ouvrir des ports sur RED.
Je me disais qu'en modifiant quelques fichiers de config (des access lists), on pouvait peut être tranformer l'interface RED en une interface LAN.

En gros, l'IPCOP serait un simple routeur...
... avec des outils améliorés (BOT, ADVPROXY, URL FILTER, NTOP...)

[ccnet]

Je me disais qu'en modifiant quelques fichiers de config, on pouvait peut être transformer l'IPCOP en simple routeur.

Et sans translation, c'est bien ce que je pensais avoir compris.
Nous sommes plusieurs à avoir indiqué les risques, limitations voire dangers de ce type de modification sur ipcop, partant du principe général que l'on utilise de façon sûre un logiciel en respectant ses spécifications d'origine.

En terme d'architecture et solution, et pour ce que je connais de votre besoin tel qu'il est posé, je ne partage pas du tout votre vision des choses pour la solution. Mais c'est vous le patron dans cette affaire.

Cela n'empêche pas de vous donner quelques pistes dans le cadre de la solution que vous avez imaginé.
Plutôt que de bricoler (je sais ... mais c'est le mot qui convient je pense) ipcop allez voir ce que Pfsense pourrait faire pour vous. Il sait fonctionner en pont, filtrant ou non, de manière standard. Vous y trouverez aussi des addons (car finalement c'est ce qui vous intéresse sur ipcop, du moins c'est ce que je crois comprendre) comme Squid, Squidguard et Lightsquid qui devraient couvrir vos besoins.

Avec cette configuration vous pourriez imaginer une dmz entre les deux firewalls sans devoir toucher votre adressage réseau.

Arkoon fait du vpn ssl je crois (?) Pfsense aussi (entre autre) et vous pourriez envisager de migrer sans toucher les clients pour n'avoir qu'un seul firewall (gratuit) et puissant. Là c'est ma façon de voir les choses.

[jpa28]

Je me doutais bien que ce détournement des fonctions d'IPcop était un peu "contre nature".
Et oui, ce qui m'interresse, c'est surtout les addons ADV PROXY, URL FILTER, ... qui sont disponibles uniquement pour IPCOP.

Merci d'avoir pris le temps de me répondre.
Je vais chercher d'autres solutions.