[Résolu] besoin d'aide sur IPCop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu] besoin d'aide sur IPCop

Messagepar benav » 27 Août 2008 15:58

Je fais suite à ce post http://forums.ixus.fr/viewtopic.php?t=41122

En effet, je me retrouve dans la meme configuration que lucmed. Je suis obligé de venir brancher un firewall IPCop dans mon réseau Green et de faire ressortir le Red en passant par le Green.

Bref, je n'aime pas beaucoup ce travail peu propre (voire pas du tout) mais j'y suis obligé. En effet, mon responsable ne souhaite pas changer sa configuration réseau.

Je ne comprend pas pourquoi cela ne peut pas fonctionner (prière de ne pas taper je suis développeur avant tout !!) car il suffit (pour moi) de rediriger vers la bonne adresse (celle de la passerelle).

Cependant, j'avour rencontrer beaucoup de difficultés avec mon installation, je pers régulièrement la possibilité de me connecter sur l'interface web de l'IPCop et de temps en temps le firewall pers la faculté de filtrer les visites sur le net.

J'aimerais plus d'explications s'il vous plait. La documentation, j'en ai à revendre et nul part je n'ai vu des explications sur pourquoi ca devait être fait comme ca et pas autrement
Dernière édition par benav le 04 Sep 2008 10:00, édité 1 fois au total.
benav
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 16 Juin 2008 11:27
Localisation: WATTRELOS||VALENCIENNES

Messagepar Gesp » 28 Août 2008 12:59

Tous tes problèmes sont liés à la manière dont le problème est posé, qui est de poser comme pré-requis de ne pas changer le réseau.

Il n'est pas simple d'insérer un ipcop dans un réseau existant sans changer l'adressage parce que chaque segment du réseau doit être séparé, le filtrage est conçu par interface et chaque interface ne doit recevoir que des données propre à ce segment.

IPCop n'est pas conçu pour faire cela et tenter de faire serait une erreur.
Je suis obligé de venir brancher un firewall IPCop dans mon réseau Green et de faire ressortir le Red en passant par le Green.


IPCop est facile à installer parce qu'il pose un certain nombre de pré-requis qui limite la flexibilité.

Quand je dis que ce n'est pas simple, c'est que il est possible de faire des choses. Mais je ne sais pas trop si c'est souhaitable en dehors de mon cas de pouvoir tester sans perturbation sur le réseau.

L'IPCop qui me sert pour les tests est une machine insérée dans un réseau existant, son coté GREEN est relié au réseau GREEN mais son coté RED est connectée à une machine intermédiaire avec 2 cartes réseau, l'autre carte étant relié au GREEN.
De cette manière, le RED de IPCop-test n'est pas dans la même plage IP que son GREEN. En changeant la passerelle par défaut pour être l'adresse IP GREEN de test, les données passent par la machine de test tandis que cela est transparent pour les utilisateurs ayant l'IP GREEN normal comme passerelle.
Donc il est possible d'insérer un IPCop sans changer l'adressage du réseau. Mais sur la machine intermédiaire (avec une distrib debian), j'ai du recompiler le noyau et rajouter une règle iptables (que j'ai oublié, il faut que je regarde mes notes ou la machine)
Dernière édition par Gesp le 28 Août 2008 13:17, édité 1 fois au total.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar ccnet » 28 Août 2008 13:09

Je ne comprend pas quel est le résultat visé par cet ajout. Serait-ce d'isoler des machines (des serveurs ?) situées dans Green du reste du réseau Green sans vouloir en changer l'adressage ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Gesp » 28 Août 2008 13:25

Dans le cas général de l'ajout d'un IPCop, c'est pouvoir faire du filtrage/proxy sans changer la config réseau. En pratique, le fait de juste changer la passerelle par défaut est vraiment une solution très faible pour du filtrage. Après un traceroute et un changement de passerelle par défaut, n'importe qui pourrait bypasser la machine qui filtre. Donc c'est vraiment à déconseiller.

Dans mon cas, c'est juste de pouvoir faire tous les tests possible sur un IPCop sans perturber les autre utilisateurs. Il n'y a que l'utilisateur connecté à la machine de test qui est perturbé et cet utilisateur, c'est moi.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar ccnet » 28 Août 2008 13:41

Je le demandais surtout à Benav.
Je pense aussi que c'est une solution très faible, facile à contourner comme décris.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar benav » 28 Août 2008 14:53

Tout d'abord bonjour et merci de me répondre

Ensuite, je suis bien conscient de la facilité de shunter l'IPCop en remettant la passerelle d'origine. Cependant, c'est le seul moyen que j'ai de filtrer sans changer la configuration réseau.

Ma plage IP Green est la suivante : 192.50.10.XXX

et ma Red est : 192.50.9.XXX

sachant que ma passerelle fait partie de la plage Green.

Enfin bref.

Le résultat escompté était de pouvoir limité et surveiller le trafic vers Internet.
benav
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 16 Juin 2008 11:27
Localisation: WATTRELOS||VALENCIENNES

Messagepar ultramedecine » 28 Août 2008 16:27

Bonjour,

Je pense comprendre que tu souhaites ce shéma là :
http://forums.ixus.fr/viewtopic.php?t=40895

... ou je me trompe :? ?
Avatar de l’utilisateur
ultramedecine
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 13 Sep 2007 12:18

Messagepar benav » 28 Août 2008 16:57

je rencontre le meme genre de soucis entre autres mais ma configuration est plus "capilo-tracté"

Modem - Firewall Juniper (Passerelle) - LAN

Alors dans mon LAN j'ai mon IPCop dont les deux cartes sont branchées dans le LAN

Carte Green : 192.50.10.8 - 255.255.255.0
Carte Red : 192.50.9.9 - 255.255.255.0 - Passerelle : 192.50.10.15
Passerelle : 192.50.10.15 - 255.255.255.0

Est-ce que je suis clair ? :oops:
benav
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 16 Juin 2008 11:27
Localisation: WATTRELOS||VALENCIENNES

Messagepar Gesp » 28 Août 2008 18:09

Si RED et GREEN sont physiquement reliés, cela ne fonctionnera pas (à moins de les mettre dans des vlan différents).

Je pense que le problème avec cette configuration vient de arp quand le cache arp reçoit une adresse par la mauvaise interface.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar ccnet » 28 Août 2008 18:12

Le résultat escompté était de pouvoir limité et surveiller le trafic vers Internet.

Vous pensez sans doute au trafic http sortant ....
Et pourquoi pas un (vrai) proxy ? en modifiant simplement la configuration des navigateurs et en interdisant bien sur le flux http sur l'interface interne du firewall.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Franck78 » 28 Août 2008 22:55

Je suis obligé de venir brancher un firewall IPCop dans mon réseau Green et de faire ressortir le Red en passant par le Green.

Bref, je n'aime pas beaucoup ce travail peu propre (voire pas du tout) mais j'y suis obligé. En effet, mon responsable ne souhaite pas changer sa configuration réseau.


Hi,
on peut toujours demander tout et son contraire, ca coute pas pas grand chose. Et aussi interdire de changer quoi que se soit, tant qu'a faire. Faut pas s'étonner ensuite du résultat obtenu. Ca marche pas (ou très mal, loin loin des espérances).

Pour contrôler le flux internet (ou un autre), il y a pas à tergiverser. Dans ce cas précis, c'est la solution de CCNET et il faut bloquer sur le juniper.
Et IPcop peut, en utilisant seulement GREEN être le proxy.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar benav » 29 Août 2008 09:00

Bonjour,

cette solution est correcte dans le cas ou je n'ai pas de poste nomade. Cependant, mon parc de pc portables va se retrouver coincé dès qu'il quittera le petit confort du réseau de l'entreprise.

Une solution serait d'apprendre aux utilisateurs comment faire, mais ce n'est pas la meilleure solution dans cette entreprise.

Juste pour vérifier, si je bloque tout trafic venant du parc informatique ormis de l'IPCop vers le Juniper. Il suffit après pour moi de rediriger le trafic vers l'adresse Green de l'IPCop qui sera ainsi la nouvelle passerelle. La passerelle de la carte Red sera l'adresse du Juniper.

C'est bon ou je me plante totalement ??
benav
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 16 Juin 2008 11:27
Localisation: WATTRELOS||VALENCIENNES

Messagepar ccnet » 29 Août 2008 10:11

si je bloque tout trafic venant du parc informatique ormis de l'IPCop vers le Juniper

Je n'ai pas écris tout, j'ai écris http. Ce n'est pas pareil.
'IPCop qui sera ainsi la nouvelle passerelle

Non je suggère juste de modifier la configuration proxy des navigateurs internet, pas la configuration réseau (comme dirait votre responsable).
Cependant, mon parc de pc portables va se retrouver coincé dès qu'il quittera le petit confort du réseau de l'entreprise.

Vous pouvez expliciter ? Là c'est plus un problème de configuration vpn, non ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar benav » 29 Août 2008 10:20

ccnet a écrit:
Cependant, mon parc de pc portables va se retrouver coincé dès qu'il quittera le petit confort du réseau de l'entreprise.

Vous pouvez expliciter ? Là c'est plus un problème de configuration vpn, non ?


En effet, chez nous les commerciaux emportent les ordinateurs portables en déplacement et chez eux. Si je paramètre leurs navigateurs avec un proxy interne à l'entreprise, ils n'arriveront plus à surfer en dehors de l'entreprise, à moins de leur apprendre à remettre la configuration à zéro (ce qui est peu envisageable, car ils pourraient de ce fait générer des problèmes et faisant une mauvaise manipulation).

Encore merci de m'aider sur le sujet
benav
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 16 Juin 2008 11:27
Localisation: WATTRELOS||VALENCIENNES

Messagepar ccnet » 29 Août 2008 12:17

Ils sont donc autorisé à se connecter à internet sans passer par le vpn de l'entreprise, avec n'importe quel moyen ?
Si vous utilisez IE il me semble qu'il suffit de décocher l'option proxy, mais que les paramètres de proxy restent en place. Il suffit de recocher proxy ensuite. Je ne jurerai pas qu'il n'existe pas d'autre moyen de gérer cela automatiquement.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron