probleme configuration reseau [resolu]

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

probleme configuration reseau [resolu]

Messagepar MAtos_22 » 19 Juil 2008 13:25

Je dispose d un ipcop ayant la pate verte configuré sur le reseau 192.168.34 X.
Il y a plusieurs reseaux connectés ensembles de 192.168.34.X à 192.168.45.X
Et je n'arrive pas à utiliser le proxy pour d'autres réseaux que le 192.168.34.X
Les machines voient ipcop mais n'arrivent pas à utiliser le proxy.
Tout est routé entre les differents réseaux; ce n'est donc pas un probleme au niveau de mes routeurs.
Mais je ne sais pas comment régler ipcop pour que cela fonctionne.
comment faire ?

Merci d'avance
Dernière édition par MAtos_22 le 24 Juil 2008 15:12, édité 1 fois au total.
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar jdh » 19 Juil 2008 13:30

"Plusieurs Green" ou "plusieurs réseaux sur Green" semblent les 2 sujets les plus questionnés.

Hélas, il semble inutile de répondre (qu'IPCOP n'est pas vraiment prévu pour ces 2 questionnements,) puisque la question sera répétée ...


(Je suis sceptique sur le routage ! IPCOP a NORMALEMENT une seule route, celle par défaut, orienté vers Red.)

(Squid, aka le proxy, n'aurait pas une règle pour son "local lan" ?)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar MAtos_22 » 19 Juil 2008 13:47

j'utilise parallelement a cela une machine avec un proxy suid tournant sous OLFEO et cela fonctionne sans probleme.
Je pense donc qu il y a surement un reglage a faire au niveau de l'ipcop pour pouvoir utiliser le proxy sans etre dans la meme classe d'ip que celle de la carte verte.

si cela n'etait pas possible cela limiterait l'utilisation d'ipcop a 254 machines sur un meme reseau. et cela me parait peu probable...
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar jdh » 19 Juil 2008 13:54

Pour résoudre un problème, il faut se poser les bonnes questions !

* IPCOP est-il capable de communiquer, au sens ip, avec tous les réseaux accessibles côté Green ?
=> impact : définition de route, règles iptables

* Squid autorise-t-il tous les réseaux en Green ?
=> fichier de conf => règles "allow http_access"


Moi, si on me dit un système fonctionne et pas l'autre, cela me fait me poser des questions ...

Néanmoins, je répète qu'IPCOP n'est pas prévu pour ces modifications ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar gemoussier » 19 Juil 2008 13:58

Bonjour,

En ce qui concerne le proxy, il faut modifier les acl :
http://ipcops.com/faq/ipcop_faq.html#x1-210001.1.14
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar MAtos_22 » 19 Juil 2008 14:02

- oui toutes machines sont capables de communiquer avec n'importe quelle autre machine de notre reseau peu importe son adresse ip. je suis par exemple capable d'acceder a l'interface http d'ipcop depuis une machine sur le reseau 192.168.45.X mais le proxy ne fonctionne pas ...
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar jdh » 19 Juil 2008 14:02

Et, en plus, on parle (d'un des 2 aspects) dans la FAQ d'IPCOP !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar MAtos_22 » 19 Juil 2008 14:07

j'ai bien trouve cela dans acl

#Finally allow IPCop_networks clients
http_access allow IPCop_networks !no_proxy_dst
http_access deny all

que je changerais bien en

#Finally allow IPCop_networks clients
http_access allow all
#http_access deny all

cela pourrait etre bon ?
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar jdh » 19 Juil 2008 14:14

"allow all" ???? (et #deny all)

Bravo la sécurité ! Inutile d'un firewall dans ce cas !

Moi, qui suis très anormal, j'essaye de lire la doc du produit et de voir comment cela se configure ... en sécurité !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar MAtos_22 » 19 Juil 2008 14:25

je n'utilise pas ipcop en tant que firewall mais essentiellement en tant que proxy.
Cela me sert aussi de cache pour les updates de mes serveurs car je n'ai qu une relative confiance en Wsus.
cela me sert aussi pour ecouter ce qui se passe sur le reseau.
Pour la partie firewall je laisse cela sur les pix ...

Autre particularite de ma configuration, c'est qu'elle tourne sur un serveur virtuel VMWare ESX, j'ai donc la possiblite de rajouter autant de cartes reseaux que je le souhaite mais je voudrais eviter de trop transformer la base ipcop; ceci afin de garder la compatibilite avec les addons et les futures MAJ.

Merci pour ton observation, il est vrai que je n'avais précise cela auparavant. Mais aurais tu une suggestion a mon problème.

Merci
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar gemoussier » 20 Juil 2008 02:15

Pourquoi ne pas modifier "IPCop_networks" ? Elle doit se trouver dans ce même fichier à priori.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar jdh » 20 Juil 2008 09:12

Tu es patient et pédagogue gemoussier. Moi, la patience m'a quittée ...

Je ne comprendrais jamais les raisons de ceux qui installent un IPCOP pour son seul proxy et modifie à la mano une bonne partie de la configuration.

Alors qu'il est bien plus simple d'installer une Debian, d'ajouter Squid, SquidGuard, et, pourquoi pas, s'inspirer des fichiers de conf d'IPCOP, ajouter 1 cron pour automatiser la récup de la base de Toulouse ... Bref, obtenir une machine "au poil", bien adaptée à sa fonction (et le mot important est "SA").
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 20 Juil 2008 11:07

jdh a écrit:
Moi, qui suis très anormal, j'essaye de lire la doc du produit et de voir comment cela se configure ... en sécurité !


Tu dois faire partie de cette espèce de fou qui suit les conseils d'Eric S Raymond (ESR pour les intimes)......pas comme cet abruti qui au bout de deux posts n'a toujours pas détaillé le message d'erreur qu'il a devant lui ( $ ou #, jdh sait) :lol:

Rassure-toi Matos_22, tu présentes une pathologie différente: sans doute enfermé dans windows, tu as le réflexe de trifouiller le fichier de conf produit par le programme au lieu de modifier le programme.

Résultat: tu te prives du programme!

Attention, ce n'est en aucun cas un patch intégrable à IPCop qu'il te faut faire. Juste une petite verrue perso dans le code qu'il faudra veillez à réappliquer après un update d'IPCop. C'est vraiment pas compliqué, suffit de le vouloir.


Bon week-end
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar ccnet » 22 Juil 2008 09:34

MAtos_22 a écrit:je n'utilise pas ipcop en tant que firewall mais essentiellement en tant que proxy.
Cela me sert aussi de cache pour les updates de mes serveurs car je n'ai qu une relative confiance en Wsus.
cela me sert aussi pour ecouter ce qui se passe sur le reseau.


J'ai renoncé il y a bien longtemps à planter des clous avec un tournevis.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar MAtos_22 » 22 Juil 2008 09:47

Utilisant ipcop depuis de nombreuses annees sans avoir jamais rencontrer de soucis, tant dans un cadre personnel que professionnel, je n'avais jamais eu a "sortir" de son utilisation classique.
J'ai toujours beaucoup aimé le système et la communauté qui s'y rattachent; c'est pourquoi j'ai naturellement réinstallé un ipcop quand j'ai eu besoin d'un proxy rapide et efficace.
Il est vrai que je suis plutot tourné vers le monde windows et donc pour moi installer une distrib et la configurer completement est impossible pour des raisons de temps et aussi de compétences; en effet au boulot les journees passent beaucoup plus vite que je le souhaite et je n 'ai pas le temps de m'investir autant que je voudrais dessus.
Desole d'avoir poser une question sur laquelle je butais. je ne pensais pas declencher ce genre de "polemique" en faisant cela. :(
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron