Bonjour,
Existe-t-il un addon de IpCop qui permet d'utiliser la portail web pour plusieurs utilisateurs ?
IpCop étant utilisé avec l'addon SquidGuard pour filter les connexions d'élèves, je voudrais que le prof qui surveille la classe est l'info des postes qui vont sur des sites "interdit" sans avoir accès à tout IpCop bien sûr.
Pourrions nous créer des utilisateur qui n'est accès qu'aux journaux ? Et qui plus est n'est accès qu'aux journaux de certains groupe de machines clientes.
Merci
IpCop en multi-utilisateur
Modérateur: modos Ixus
10 messages
• Page 1 sur 1
IpCop en multi-utilisateur
par 3IFA » 19 Mai 2009 08:55
- 3IFA
- Matelot
- Messages: 7
- Inscrit le: 19 Mai 2009 08:48
par ccnet » 19 Mai 2009 11:20
Quasiment incompréhensible. Le titre est absurde.
La question serait de pouvoir distinguer des rôles dans l'accès à certaines pages de l'interface d'administration d'ipcop ? Consultations des logs du proxy uniquement pas exemple ?
Si le proxy n'était pas sur le firewall .... depuis le temps ...
La question serait de pouvoir distinguer des rôles dans l'accès à certaines pages de l'interface d'administration d'ipcop ? Consultations des logs du proxy uniquement pas exemple ?
Si le proxy n'était pas sur le firewall .... depuis le temps ...
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par 3IFA » 19 Mai 2009 12:12
Alors là, désolé. Je pensais vraiment être clair.
Alors oui, l'idée serait de
Par contre, moi je ne comprends pas
Alors oui, l'idée serait de
pouvoir distinguer des rôles dans l'accès à certaines pages de l'interface d'administration d'ipcop ? Consultations des logs du proxy uniquement pas exemple ?
Par contre, moi je ne comprends pas
Si le proxy n'était pas sur le firewall .... depuis le temps ...
- 3IFA
- Matelot
- Messages: 7
- Inscrit le: 19 Mai 2009 08:48
par ccnet » 19 Mai 2009 12:17
Un proxy n'a rien à faire sur un firewall, surtout si en plus on y a ajouté un filtrage d'url et de contenu. Un proxy doit se trouver en dmz. Ce point a déjà été débattu amplement sur ce forum, nous sommes plusieurs à avoir expliqué pourquoi. Les très petites structures transigent souvent sur ce point pour des raisons pratiques. Ce qui ne change rien au problème.
Pour en revenir à votre question initiale, ce n'est pas prévu sur ipcop via l'interface d'administration. Ce que ne signifie pas que cela ne soit pas possible. Néanmoins je ne suis pas favorable aux modifications d'ipcop qui nécessite ensuite une gestion hors de l'interface prévue à cette fin. Je me demande si une solution n'a pas été proposée sur ce forum pour réaliser ce que vous souhaitez. De mémoire c'était "à la main" dans les fichiers de configuration. Vague souvenir, il faut chercher.
Pour en revenir à votre question initiale, ce n'est pas prévu sur ipcop via l'interface d'administration. Ce que ne signifie pas que cela ne soit pas possible. Néanmoins je ne suis pas favorable aux modifications d'ipcop qui nécessite ensuite une gestion hors de l'interface prévue à cette fin. Je me demande si une solution n'a pas été proposée sur ce forum pour réaliser ce que vous souhaitez. De mémoire c'était "à la main" dans les fichiers de configuration. Vague souvenir, il faut chercher.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par 3IFA » 19 Mai 2009 15:24
Faites vous référence en particulier à cette discussion :Séparer réseau admin+eleve+prof ?
J'ai l'ai d'être dans la même config.
L'idée étant de mettre sur le même réseau physique les élèves les profs et l'administratif.
Déjà d'un point de vu structurel je ne peux pas doubler ou tripler le câblage. Le ssite est déjà bien étendu géographiquement.
De plus les élèves peuvent utiliser les même machines que les profs. Seule d'authentification AD W2k3 (bientôt W2k8) pourrait m'indiquer si c'est un élève ou un prof.
Il faudrait donc mettre derrière mon modem/routeur un IpCop puis sur la DMZ de IpCop un PfSense ?
Sachant que derrière mon modem/routeur j'ai (en Dmz aussi) mon serveur web, peut il rester là ou doit il être sur le même DMZ que le PfSense ?
Ainsi j'aurai :
Sdsl + Adsl
||
||
RV042 (Routeur LinkSys avec deux entrée Wan et 50 clients VPN)
||
||
IpCop RED (PareFeu)
||
||
||== ORANGE (Dmz) === PfSense ?
||
||== ORANGE (Dmz) === Serveur Web
||
||== GREEN (Mon Lan - Classe B)
Il faut donc 2 IpCop. un en firewall et un en proxy ?
ou un IpCop en firewall et un proxy en PfSense ?
Y a t il un PfSense tel que ipCop en boot cd (pas live cd) ou doit on d'abord installer un linux puis PfSense ?
J'ai l'ai d'être dans la même config.
L'idée étant de mettre sur le même réseau physique les élèves les profs et l'administratif.
Déjà d'un point de vu structurel je ne peux pas doubler ou tripler le câblage. Le ssite est déjà bien étendu géographiquement.
De plus les élèves peuvent utiliser les même machines que les profs. Seule d'authentification AD W2k3 (bientôt W2k8) pourrait m'indiquer si c'est un élève ou un prof.
Il faudrait donc mettre derrière mon modem/routeur un IpCop puis sur la DMZ de IpCop un PfSense ?
Sachant que derrière mon modem/routeur j'ai (en Dmz aussi) mon serveur web, peut il rester là ou doit il être sur le même DMZ que le PfSense ?
Ainsi j'aurai :
Sdsl + Adsl
||
||
RV042 (Routeur LinkSys avec deux entrée Wan et 50 clients VPN)
||
||
IpCop RED (PareFeu)
||
||
||== ORANGE (Dmz) === PfSense ?
||
||== ORANGE (Dmz) === Serveur Web
||
||== GREEN (Mon Lan - Classe B)
Il faut donc 2 IpCop. un en firewall et un en proxy ?
ou un IpCop en firewall et un proxy en PfSense ?
Y a t il un PfSense tel que ipCop en boot cd (pas live cd) ou doit on d'abord installer un linux puis PfSense ?
- 3IFA
- Matelot
- Messages: 7
- Inscrit le: 19 Mai 2009 08:48
par ccnet » 19 Mai 2009 15:48
3IFA a écrit:Faites vous référence en particulier à cette discussion :Séparer réseau admin+eleve+prof ?
Non
L'idée étant de mettre sur le même réseau physique les élèves les profs et l'administratif.
Déjà d'un point de vu structurel je ne peux pas doubler ou tripler le câblage. Le ssite est déjà bien étendu géographiquement.
Inutile, c'est pour cela que les vlans existent.
De plus les élèves peuvent utiliser les même machines que les profs. Seule d'authentification AD W2k3 (bientôt W2k8) pourrait m'indiquer si c'est un élève ou un prof.
Oui. Un proxy squid autonme bien configuré pourrait exploiter l'information.
Il faudrait donc mettre derrière mon modem/routeur un IpCop puis sur la DMZ de IpCop un PfSense ?
Sachant que derrière mon modem/routeur j'ai (en Dmz aussi) mon serveur web, peut il rester là ou doit il être sur le même DMZ que le PfSense ?
Ainsi j'aurai :
Sdsl + Adsl
||
||
RV042 (Routeur LinkSys avec deux entrée Wan et 50 clients VPN)
||
||
IpCop RED (PareFeu)
||
||
||== ORANGE (Dmz) === PfSense ?
||
||== ORANGE (Dmz) === Serveur Web
||
||== GREEN (Mon Lan - Classe B)
Il faut donc 2 IpCop. un en firewall et un en proxy ?
Non vous faites totalement fausse route.
Pfsense avec deux dmz convient. Une externe (dite aussi public, l'autre interne (dite privée). De surcroit il supporte la gestion des vlans sur les interfaces physiques.
ou un IpCop en firewall et un proxy en PfSense ?
Y a t il un PfSense tel que ipCop en boot cd (pas live cd) ou doit on d'abord installer un linux puis PfSense ?
Pfsense existe en version installable et en live CD. Pfsense ne tourne pas sous Linux mais freeBSD. Il s'installe à la manière d' Ipcop.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par 3IFA » 19 Mai 2009 16:01
Je n'y connais rien et n'est donc jamais géré des vlan.
Il me faut donc rester sur une solution relativement simple.
Je ne comprends pas
Je fais fausse route sur quoi ? Est-ce sur que la structure physique :
'Dsl === [Ip Public Fix] Routeur [192.168.1.254] === [192.168.1.1] FireWall [172.16.0.254] === GREEN LAN
'.......................................||............................................................||
'................................Serveur Web..............................................ORANGE
'...............................[192.168.1.10] ..............................................Proxy
'.............................................................................................[192.168.3.10]
Il me faut donc rester sur une solution relativement simple.
Je ne comprends pas
Non vous faites totalement fausse route.
Pfsense avec deux dmz convient. Une externe (dite aussi public, l'autre interne (dite privée). De surcroit il supporte la gestion des vlans sur les interfaces physiques.
Je fais fausse route sur quoi ? Est-ce sur que la structure physique :
'Dsl === [Ip Public Fix] Routeur [192.168.1.254] === [192.168.1.1] FireWall [172.16.0.254] === GREEN LAN
'.......................................||............................................................||
'................................Serveur Web..............................................ORANGE
'...............................[192.168.1.10] ..............................................Proxy
'.............................................................................................[192.168.3.10]
- 3IFA
- Matelot
- Messages: 7
- Inscrit le: 19 Mai 2009 08:48
par ccnet » 19 Mai 2009 16:48
Oui sur l'architecture. L'ip publique serait plus à sa place sur l'interface Wan du firewall. Les deux dmz ainsi que le lan partant du firewall (impossible avec ipcop).
Dmz externe
|
Firewall---------Lan
|
Dmz Interne
Puis proxy dans dmz Interne, et serveur web dans dmz Externe.
Il n'y a pas que des solutions simples à tous les problèmes .... et puis cela s'apprend la gestion des Vlans, ce n'est pas si compliqué.
Dmz externe
|
Firewall---------Lan
|
Dmz Interne
Puis proxy dans dmz Interne, et serveur web dans dmz Externe.
Je n'y connais rien et n'est donc jamais géré des vlan.
Il me faut donc rester sur une solution relativement simple.
Il n'y a pas que des solutions simples à tous les problèmes .... et puis cela s'apprend la gestion des Vlans, ce n'est pas si compliqué.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par 3IFA » 19 Mai 2009 17:21
Et surtout en gros au revoir IpCop Alors ?
Il faut que je passe à Pfsense.
N'est ce pas correct d'utiliser un modem/routeur créant une DMZ pour le serveur web ?
INTERNET
|
|
MODEM/ROUTEUR
|Port 1 :
|Port 2 : === Serveur Web
|Port 3 :
|Port 4 : === FireWall (IpCop* ou Pfsense)
........................|
........................|
........................eth0 : GREEN ==== LAN ========= SRV1 sous W2k3 (AD, DHCP et DNS)
........................eth1 : ORANGE === Proxy (Pfsense)
*si IpCop, juste en FireWall (que BlockOutTraffic mais ni nUrlFilter, ni SquidGuard) ?
Mais ainsi, le Proxy ne peut pas être transparent. Je dois configurer les clients pour qu'ils utilisent le Proxy (via GPO par exemple).
Et avec cette solution, Pfsense permettrait d'autoriser user1 ou user2 d'utiliser le port x1 ou le port x2 et de filtrer le contenu web (SquidGuard) en fonction de leur appartenance dans mon AD ?
Merci en tout cas de tous ses éclaircissements.
Bien que restant pour le moment dans la noirceur.
C'est dommage, lors de mon installation d'hier de IpCop j'ai plutôt satisfait. Il a fallut que je m'interroge sur le filtrage en fonction du user pour tomber de haut.
Il faut que je passe à Pfsense.
N'est ce pas correct d'utiliser un modem/routeur créant une DMZ pour le serveur web ?
INTERNET
|
|
MODEM/ROUTEUR
|Port 1 :
|Port 2 : === Serveur Web
|Port 3 :
|Port 4 : === FireWall (IpCop* ou Pfsense)
........................|
........................|
........................eth0 : GREEN ==== LAN ========= SRV1 sous W2k3 (AD, DHCP et DNS)
........................eth1 : ORANGE === Proxy (Pfsense)
*si IpCop, juste en FireWall (que BlockOutTraffic mais ni nUrlFilter, ni SquidGuard) ?
Mais ainsi, le Proxy ne peut pas être transparent. Je dois configurer les clients pour qu'ils utilisent le Proxy (via GPO par exemple).
Et avec cette solution, Pfsense permettrait d'autoriser user1 ou user2 d'utiliser le port x1 ou le port x2 et de filtrer le contenu web (SquidGuard) en fonction de leur appartenance dans mon AD ?
Merci en tout cas de tous ses éclaircissements.
Bien que restant pour le moment dans la noirceur.
C'est dommage, lors de mon installation d'hier de IpCop j'ai plutôt satisfait. Il a fallut que je m'interroge sur le filtrage en fonction du user pour tomber de haut.
- 3IFA
- Matelot
- Messages: 7
- Inscrit le: 19 Mai 2009 08:48
par ccnet » 19 Mai 2009 17:39
N'est ce pas correct d'utiliser un modem/routeur créant une DMZ pour le serveur web ?
Je n'ai qu'une confiance limitée dans ces boitiers.
Mais ainsi, le Proxy ne peut pas être transparent. Je dois configurer les clients pour qu'ils utilisent le Proxy (via GPO par exemple).
Si vous pouvez c'est bien.
Et avec cette solution, Pfsense permettrait d'autoriser user1 ou user2 d'utiliser le port x1 ou le port x2
Non, mauvaise compréhension des problématiques. C'est possible mais avec des Vlans et la mise en place d'un NAC (Networks Access Control).
et de filtrer le contenu web (SquidGuard) en fonction de leur appartenance dans mon AD ?
Oui, c'est un problème Squid.
C'est dommage, lors de mon installation d'hier de IpCop j'ai plutôt satisfait. Il a fallut que je m'interroge sur le filtrage en fonction du user pour tomber de haut.
Le problème est que vous avez sans doute installé "à chaud" sans politique de sécurité, sans analyse de risques. Il vous était donc impossible de comprendre ce dont vous aviez besoin et encore moins de déterminer les moyens à mettre en ouvre.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
10 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité