BOT : autoriser tout

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

BOT : autoriser tout

Messagepar EtoDemerzel » 03 Nov 2008 09:36

Je souhaite créer une règle dans BOT pour autoriser tout le traffic sortant. Pk ? Parce les utilisateurs de mon réseau sont libre de faire 99% de ce qu'ils veulent (surf, msn, skype, youtube, porno, jeux en ligne, P2p, ...) sans avoir à en référer à moi.

Je souhaite donc créer une règle pour autoriser tout et ensuite quelques autres pour bloquer quelques services très spécifiques.

Mon problème est que je n'arrive pas à créer cette règle pour autoriser tout.

Je procède comme suit :

Image

Image


Image


Et j'obtiens ceci :

Image


Je test un truc au hasard : J'essaye d'ouvrir une page dans firefox et .... ca ne marche pas :D C'est mal parti.

Qu'ai je fait de travers ?
EtoDemerzel
Matelot
Matelot
 
Messages: 7
Inscrit le: 20 Oct 2008 16:06

Messagepar ccnet » 03 Nov 2008 11:32

Est-ce la seule règle présente dans BOT ?

Je comprend bien votre motivation pour activer une telle règle. Malheureusement il y a une grosse incompréhension. Permettre aux utilisateurs d'accéder à "tout" n'est pas synonyme de la règle que vous souhaitez mettre en place. A part des ennuis je ne vous pas bien en quoi laisser passer le traffic d'un w32.spybot.worm par exemple exploitant les failles dcom, apporte davantage de liberté aux utilisateurs. Il en est de même d'autres protocoles comme dns, icmp qu'il convient de ne pas laisser sortir n'importe comment sous prétexte que les utilisateurs sont libres. En fait une règle interdisant tout le trafic sortant précédée d'une dizaine de règles d'autorisation devrait donner à vos utilisateurs assez de latitude pour agir sans qu'ils ressentent de restrictions.

L'accès aux services que vous évoquez (surf, msn, skype, youtube, porno, jeux en ligne, P2p, ...) ne sont de toute façon pas du ressort de BOT en terme de filtrage simplement par ce qu'ils sont le plus souvent encapsulés dans http.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar EtoDemerzel » 03 Nov 2008 15:11

ccnet a écrit:Est-ce la seule règle présente dans BOT ?

Je comprend bien votre motivation pour activer une telle règle. Malheureusement il y a une grosse incompréhension. Permettre aux utilisateurs d'accéder à "tout" n'est pas synonyme de la règle que vous souhaitez mettre en place. A part des ennuis je ne vous pas bien en quoi laisser passer le traffic d'un w32.spybot.worm par exemple exploitant les failles dcom, apporte davantage de liberté aux utilisateurs. Il en est de même d'autres protocoles comme dns, icmp qu'il convient de ne pas laisser sortir n'importe comment sous prétexte que les utilisateurs sont libres. En fait une règle interdisant tout le trafic sortant précédée d'une dizaine de règles d'autorisation devrait donner à vos utilisateurs assez de latitude pour agir sans qu'ils ressentent de restrictions.

L'accès aux services que vous évoquez (surf, msn, skype, youtube, porno, jeux en ligne, P2p, ...) ne sont de toute façon pas du ressort de BOT en terme de filtrage simplement par ce qu'ils sont le plus souvent encapsulés dans http.


Merci pour cette réponse.

C'est effectivement la seule règle présente dans bot pour l'instant. Je compte y ajouter des interdictions progressivement.

En fait je souhaite simplement que tout ce qui était autorisé à sortir quand BOT n'était pas installé le soit de nouveau (sans désactiver BOT bien sur :P ). Le niveau de sécurité me convenait très bien comme cela (sans vouloir vous horrifier)
EtoDemerzel
Matelot
Matelot
 
Messages: 7
Inscrit le: 20 Oct 2008 16:06

Messagepar ccnet » 03 Nov 2008 15:35

Vérifiez que dans les paramètres généraux vous avez bien coché l'option "Allow related or established connection" si vous avez des transferts de ports activés, c'est indispensable. Utilisez vous le proxy d'ipcop ? Si oui il faut autoriser l"accès à ipcop lui même puisqu'il exécute le proxy.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar EtoDemerzel » 03 Nov 2008 18:41

Merci encore pour cette réponse.

En fait je viens de trouver la source de mon problème. Une phrase lue sur un forum anglophone m'a mis la puce à l'oreille.

Il fallait simplement que j'active l'accès au regroupement de services "Services IPCOP" présenté la :
http://blockouttraffic.de/gettingstarted_fr.php

La règle que j'avais définie plus haut fonctionne maintenant très bien
EtoDemerzel
Matelot
Matelot
 
Messages: 7
Inscrit le: 20 Oct 2008 16:06


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron