Enormément d'ambiguités avec IpCop !! A l'aide!!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Enormément d'ambiguités avec IpCop !! A l'aide!!

Messagepar zdleks » 13 Jan 2010 15:21

Bonjour à tous, je suis ds une mairie (oui je pose la situation) ou il y a une soixantaine de postes et jai comme projet d'installer un proxy. Jusqu'ici tout va bien.
On m'a laissé le soin de choisir moi meme le produit, et avec ma faible expérience en la matiére, jai choisi IpCop, car déjà utilisé auparavant (ds le cadre de travaux pratiques durant ma formation).
Mais c'est la que se pose un soucis de taille... En effet, tout, je dit bien tout les postes et serveurs sont sur le meme reseau, avec un masque à 20bit (par ex@xxx.xxx.240.0 comme masque).

Jai mon pote (bitcricket aka ipcalculator:wink: ) qui m'informe un peu plus clairement sur les possibilités que pourrait offrir le réseau sur lequel tout semble être installés, et donc je ne fais pas d'erreur d'innattention sur le calcul de la plage d'adresses definie, et jai le regret de constater que toutes les @ ip que jai relevé rentrent bel et bien ds le réseau de base si je puis dire;et donc rien qui est en dehors.

Je ne sais pas du tout ou j'en suis parce que je sais trés bien que les réseaux se connectant aux différentes "pates" d'un proxy se doivent de n epas être les meme alors soit je ne comprends rien à rien (ds ce cas je quitte le buro ou je suis sagement installé) ou alors le réseau initialement mis en place n'a pas du tout été pensé pour qu'il y ai un proxy, chose dont je doute, qd meme, dans une mairie , $%#&!!
De plus il me semble bien qu'il y a deja eu un proxy chez eux et alors comment faire devant cette impasse?
C'est tout de meme étrange...
merci de reflechir un tps soit peu je vous serai reconnaissant
zdleks
Matelot
Matelot
 
Messages: 8
Inscrit le: 16 Nov 2009 22:22

Messagepar jdh » 13 Jan 2010 15:44

Pour le moins confus !


Ce qui concerne le réseau, tout doit être fait avec calme et discernement.

Bien qu'un masque de /20 (= 255.255.240.0) soit assez inhabituel, il n'y a aucune raison pour que cela pose le moindre problème ... si tous les éléments sont bien configuré (et avec le même masque).

On travaille plutôt avec un masque /24 (= 255.255.255.0) parce que les 3 premiers nombres (octets) de l'adresse sont identiques et seul le dernier varie. Mais est ce un problème !

Un masque /20 est prévu pour traiter 4094 machines dans le même réseau !

(NB : pour évoquer la relativité : si ping 192.168.1.1 répond alors ping 3232235777 répondra aussi parce que ce sont les mêmes valeurs !)


Il faudrait commencer par regarder les réglages réseaux :
- passerelle,
- serveur dns,
- adresses des principaux matériels,
- rôle des principaux matériels,
- ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Gaston » 13 Jan 2010 16:29

bonjour,
et aussi définir le besoin réel !! Un proxy n'est pas un firewall (IPCop est un firewall même si on peut installer un service proxy dessus).

Donc si le besoin est un proxy , préférer installer un Linux basique + squid sur une machine indépendante

Si le besoin est ailleurs, le préciser, en faisant des phrases avec sujet verbe complément et ponctuation, un schéma explicatif détaillant les plans d'adressage IP et les équipements mis en jeu) ...

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar zdleks » 13 Jan 2010 17:01

Oui en effet, au moment de choisir mon proxy, j'avais à l'idée que IpCop en était un à part entiére, alors qu'en fait, tu l'as bien dit c'est juste un parefeu sur lequel il peut y avoir un service proxy.
Donc les recommandations sont simples si je comprends bien, cad mettre un proxy squid sur une machine linux... Ok là encore japprend un truc, je pensais que squid se présentait sous la meme forme qu'ipcop, un os bien distinct.
Mais alors, est ce que ipcop peut assumer la protection d'un site comportant plusieurs dizaines de postes en tant que proxy ou bien va-t-il falloir utiliser squid à tout prix sous peine de se retrouver en carrafe avec un ipcop à genoux?

Concernant les besoins, non ils ne sont pas ailleurs, c'est bel et bien un proxy qu'il me faut!
Pour l'architecture, c'est un peu plus compliqué, je vous en dirai davantages qd je saurai exactement ou sera placé le proxy, et quoi venant d'ou devra sortir par ce dernier...pas trés français mais je me comprends... :lol:
D'ici là, pensez à vous !!
zdleks
Matelot
Matelot
 
Messages: 8
Inscrit le: 16 Nov 2009 22:22

Messagepar Franck78 » 13 Jan 2010 22:01

Salut,
et donc je ne fais pas d'erreur d'innattention sur le calcul de la plage d'adresses definie, et jai le regret de constater que toutes les @ ip que jai relevé rentrent bel et bien ds le réseau de base si je puis dire;et donc rien qui est en dehors.

Je ne sais pas du tout ou j'en suis parce que je sais trés bien que les réseaux se connectant aux différentes "pates" d'un proxy se doivent de n epas être les meme alors soit je ne comprends rien à rien (ds ce cas je quitte le buro ou je suis sagement installé) ou alors le réseau initialement mis en place n'a pas du tout été pensé pour qu'il y ai un proxy, chose dont je doute, qd meme, dans une mairie , $%#&!!


Au vu de ce chariabia, je dirais que tu as raté le cours réseau. Le plan d'adressage est très certainement correct (ca marche), il n'est point besoin de tergiverser plus de cinq minutes pour relever quelques 'ipconfig /all' et le comprendre.

FYI, on ne décide pas du plan d'adressage en fonction de l'existence furure ou non d'un proxy http.

Désolé de ne pas t'aider, mais au moins tu te rends compte à quel point tu maitrises peu ton réseau et la technique (pour moi, tu mélanges allègrement routeur et proxy). Tu es un bon candidat pour Caleca.

Enormément d'ambiguités avec IpCop !! A l'aide!!

c'est bien la première fois que je lis une telle aberration. N'importe quel schéma tel celui-ci est compréhensible: http://linuxidable.perso.cegetel.net/
bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar ccnet » 14 Jan 2010 10:40

...pas trés français mais je me comprends...

Nous, on a du mal.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar zdleks » 14 Jan 2010 12:38

J'estime avoir été le plus clair possible pourtant...Non je ne confond pas routeur et proxy, qd jai parlé de differentes pates je parlai des interfaces du proxy!
Et d'autre part, ce n'est pas moi(heureusement ) qui ai monter le reseau et donc il est possible que vous ayez pu lire des choses qui vous choquaient a ce niveau : oui, qd jai fait mon premier post, je pensai qu'il y avait qu'un seul reseau ds leur architecture et aprés avoir pris des infos à droite à gauche, b j'apprends qu'il y en a un autre.
Aprés pas besoin de me descendre de la sorte, c'est just qu'aprés 2 jour de stage, javais pas encore le schéma du reseau...
Pour finir sur ma phrase litigieuse et pas trés francaise, je voulais simplement dire que j'étais pas encore au courant de toutes l'infrastructure, encore une fois je dechiffre parfaitement le schema d'une utilisation standard d'un proxy, mais avec le peu d'infos dont je disposais sa manquait de cohérence, ça je ne vous l'enlèverai pas !
Et essayez d'être un peu plus compréhensifs, jai lu des posts ou des types encore plus calamiteux que moi se faisait aidés bcp plus aimablement, aprés jai rien à prétendre c'est vrai
zdleks
Matelot
Matelot
 
Messages: 8
Inscrit le: 16 Nov 2009 22:22

Messagepar ccnet » 14 Jan 2010 13:43

Non je ne confond pas routeur et proxy, qd jai parlé de differentes pates je parlai des interfaces du proxy!

Comment s'enfoncer un maximum en une phrase. Votre phrase confirme exactement le contraire de ce qu'elle dit.
Le but n'étant pas de vous "descendre", reprenons.

1. Un proxy fonctionne parfaitement avec une seule interface réseau. C'est dans cette configuration que les proxy sont installés pour une immense majorité.

2. Parlons architecture. Si votre réseau ne comporte pas de serveurs (mail, web, ... ) il peut être organisé autour d'un firewall connectant l'unique réseau interne à Internet. Or il semble que ce réseau comporte des serveurs. L'architecture n'est donc pas adaptée. Les serveurs et en particulier ceux acceptant du trafic entrant devrait se trouver dans une dmz, un réseau différent de 192.168.1.0/20 (par exemple). Au passage il est sans utilité de masquer un numéro de réseau privé, nous sommes des millions à utiliser les mêmes.
Refermons cette parenthèse.
Si vous disposiez effectivement d'une dmz, vous pourriez y placer le proxy. Alors le proxy utiliserait un réseau différent de celui des postes de travail.
Or vous n'avez pas de dmz. Le proxy sera donc dans le même réseau que l'ensemble des postes de travail et serveurs de l'unique réseau et avec une seule interface réseau.

3 Cette phrase
parce que je sais trés bien que les réseaux se connectant aux différentes "pates" d'un proxy se doivent de n epas être les meme

est une erreur, j'espère que vous l'avez compris maintenant.

4. Je ne revient pas sur les différentes réponses, notamment celle de Gaston, parfaitement justifiée.

Pour avancer il vous faut remettre en ordre vos connaissances. Elles sont objectivement défaillantes. Ce n'est pas grave dès que l'on en a conscience.
Ensuite suivre le conseil de jdh pour établir exactement la topologie réseau actuelle et la comprendre.
Suivre aussi le conseil de Franck78 en consultant le lien donné et le site de C Caleca.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar zdleks » 14 Jan 2010 14:47

Oui quel sens de la déduction, il y a bien des serveurs, et aussi une dmz ou se trouvent un serveur de messagerie et d'autres devant être accessible hors du réseau. Et pr le réseau privé que jaurai masqué, c'était juste pr ne pas me prendre la tete à reécrire (bon à coté des roman que je fais c rien me diriez vous!)
Pour le proxy et la question du nbr d'interface qu'il peut avoir, je l'ai dit je suis novice en la matiére, et je n'arrive pas à concevoir qu'il pourrait avoir qu'une et unique IF, à vous, si vous y tenez, de m'expliquer. Or ce n'est pas trop grave ds le sens ou celui qui doit être monté devra disposer de deux IF's.
Ou est-ce que je fais une erreur concernant les IF's et les réseaux s'y connectant?
Vous m'avez tous l'air d'avoir une certaine expérience alors essayez de vous souvenir du moment ou vous commenciez, en vous mettant à ma place. Et pour finir ds l'informatique on peut facilement avoir des idées préconçues ou faire des rapprochement n'ayant pas lieu d'etre dus à de mauvaises interpretations, voila à mon avis ou je me trouve apparement mais ça on s'en fiche
zdleks
Matelot
Matelot
 
Messages: 8
Inscrit le: 16 Nov 2009 22:22

Messagepar ccnet » 14 Jan 2010 15:50

Je vais mettre les points sur les i pour en terminer.

Oui j'ai une certaine expérience et même une expérience certaine.

Non seulement je me souviens de mes débuts et je continue à m'appliquer, au quotidien, la même méthode. Lorsque je ne sais pas, lorsque je doute ou lorsque je patauge alors je travaille, je me documente, j'apprends, je comble mes lacunes. Et si besoin je vais en formation sur les très gros sujets.

Pour le proxy et la question du nbr d'interface qu'il peut avoir, je l'ai dit je suis novice en la matiére,

et
celui qui doit être monté devra disposer de deux IF's.


Vous avez un sens du paradoxe rare. Lorsque je suis novice dans un domaine je me garde bien d'affirmer (devra) les choses.

J'ai essayé de vous expliquer logiquement comment le problème pouvait être abordé selon votre configuration(du moins ce que vous en dites). Vous en avez déduit (toujours mon sens de la déduction) que l'on voulait vous "descendre". Vous n'avez retenu que la critique pas les conseils.
Je ne faisait qu'une analyse à plat, sans affect, des possibilités, compte tenu des informations que vous communiqué, qui sont à votre disposition. Rien d'autre.

En ce qui me concerne je ne peux plus rien pour vous.

A la rigueur vous conseiller de lire le début de la documentation de Squid : http://www.squid-cache.org/

Vous en ferez ce que vous voudrez.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar betienne » 14 Jan 2010 16:04

Bonjour à tous,

AMHA Squid ne devrait pas s'installer sur IPCop.

Va voir ce que j'ai publié : http://www.systemx.fr/linux/squid ça devrait t'aider à configurer ton Squid+SquidGuard.

J'ai rédigé cette doc à la suite d'une installation dans un centre de formation d'apprentis dans une chambre des métiers (pas loin de 100 PC).

Si il y a des trucs que tu ne comprends pas ou qui ne fonctionnent pas n'hésite pas à me contacter.

Il te restera quelques règles iptables à rédiger et ce sera tout.

Bon travail à tous.
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse

Messagepar jdh » 14 Jan 2010 16:32

Bien !

Cette page est, en effet, intéressante car assez complète sur
- la config d'un Squid,
- l'utilisation en client (y compris WPAD et ce n'est pas évident),
- la config de SquidGuard (avec, bien sur, la blacklist de l'université de Toulouse).

Beau travail !


(NB : Toutefois, il manque un ENAURME avertissement sur la taille de cache et la taille mémoire du serveur : les 2 sont très liés, et à chaque fois, les ignorants imaginent qu'avec un serveur de 1G de mémoire ils peuvent avoir un cache de 10G. Ce qui est une erreur de compréhension importante à la fois sur le besoin mémoire mais aussi sur l'efficacité mauvaise d'un grand cache : un cache de 512M est SOUVENT plus efficace qu'un cache de 10G même avec 200 utilisateurs ! J'exagère juste un peu mais c'est l'idée ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar betienne » 14 Jan 2010 16:40

Bonjour à tous,

Je vais le faire ... d'autant qu'il y a un CGI qui permet de connaitre l'état du cache et de la ram !

Bon travail à tous.
betienne
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 09 Jan 2010 15:34
Localisation: Toulouse

Messagepar Franck78 » 14 Jan 2010 22:00

zdleks a écrit:alors essayez de vous souvenir du moment ou vous commenciez, en vous mettant à ma place. Et pour finir ds l'informatique on peut facilement avoir des idées préconçues ou faire des rapprochement n'ayant pas lieu d'etre dus à de mauvaises interpretations, voila à mon avis ou je me trouve apparement mais ça on s'en fiche

alors j'affine ma pensée: tu mélanges plutôt IPcop et proxy. Tu ne concois pas un proxy sans deux interfaces en est l'évidente démonstration.
Ce qui est génant, c'est que tu ne sois pas allez directement t'instruire au sujet de tes idées préçoncues fausses (caleca) et que tu reviennes en insistant.

Tu as bien dit être stagiaire. Pourquoi ton informaticien ne t'explique pas les choses aussi basiques?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar zdleks » 15 Jan 2010 09:41

Bon ok si il devra en avoir deux d'interfaces, c'est que ça va devoir être le cas, bref c'est vrai que jai plutot repondu par rapport au fait que jallai un peu vite par rapport à mon niveau, mais si je viens solliciter de l'aide c'est que je trouvais pas de reponse aux questions que je me posais, et à l'heure actuelle j'en sais deja un peu plus sur le reseau de cette dite mairie.
Oui jai bien conscience que se documenter est la meilleure facon d'apprendre, mais echanger avec des initiés également. ENfin bon apés faudrai pas jouer sur les mots en attendant que je dise la moindre choses caduques et se servir de ce que jai dit en qualifiant mon niveau de novice
zdleks
Matelot
Matelot
 
Messages: 8
Inscrit le: 16 Nov 2009 22:22

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron