Bonjour,
J'ai installé dans une petite PME un serveur IPCOP afin de filtrer un peu internet, cependant j'ai deux trois problèmes avec mon serveur. Tout d'abord, je ne comprends pas quelque chose, dans mon client XP si je rentre pas le serveur proxy dans mon navigateur , internet est libre donc pas top, car l'utilisateur à juste a désactivé le proxy dans le browseur et il shunte le proxy ??? Pour information le client a comme passerelle le proxy, le serveur n'est pas en transparent, car j'utilise active directory pour l'authentification.
Mon autre problème est que j'utilise URLFilter pour filtre les liens et il marche pas formidablement, j'ai certain lien comme des services de google qui passe entre ou par exemples live.com qui sont pas filtré, cependant certain lien sont bien filtré donc je ne comprends pas trop.
Cordialement,
Xavier
Configuration Ipcop proxy
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
Configuration Ipcop proxy
par foxer98 » 25 Fév 2010 19:58
- foxer98
- Matelot
- Messages: 3
- Inscrit le: 25 Fév 2010 17:55
par ccnet » 25 Fév 2010 21:06
Par défaut et sans addon ipcop laisse tout sortir. Tout est donc normal. Puisque vous n'utilisez pas le mode transparent il est nécessaire de bloquer le trafic sortant vers le port 80 si vous ne souhaitez pas que les utilisateurs bypass votre proxy simplement.
Au delà de ce problème factuel (parce que la documentation n'a pas été lue), deux remarques et une solution.
1. ipcop n'est pas l'endroit où mettre un proxy
2. Le blocage du trafic sortant est aussi important que celui du trafic entrant pour la sécurité.
Pour bloquer le trafic sortant installez BOT sur ipcop.
Au delà de ce problème factuel (parce que la documentation n'a pas été lue), deux remarques et une solution.
1. ipcop n'est pas l'endroit où mettre un proxy
2. Le blocage du trafic sortant est aussi important que celui du trafic entrant pour la sécurité.
Pour bloquer le trafic sortant installez BOT sur ipcop.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 25 Fév 2010 22:52
Pour compléter ccnet (des fois c'est lui qui me complète !),
* Le premier addons à installer sur Ipcop est BOT :
C'est presque totalement obligatoire d'utiliser BOT, car c'est l'outil qui permet de rémdier à ces politiques par défaut décrites par ccnt (et le newbie-kit).
Avec BOT, il est aisé d'interdire tout puis d'autoriser seulement ce qui est nécessaire.
* "J'ai installé dans une petite PME un serveur IPCOP afin de filtrer un peu internet" :
Beh non ! Ipcop est un firewall : il filtre les flux. Mais le filtrage des URL pour la navigation c'est Squid qui le réalise. C'est important de le dire parce, justement, Squid est exigeant en ressource mémoire !
Selon la taille de l'entreprise, il est mieux et plus sût de placer le proxy Squid sur une machine distincte (qui sera la seule autorisée à accéder à Internet pour http). Pour 5 à 10 micros, on peut laisser Squid sur Ipcop, mais au delà de 10-15 utilisateurs, c'est sérieusement à considérer !
* De même, nous ne conseillons pas un addons comme Copfilter ou Snort !
Les 2 semblent utiles sur le papier mais ne sont pas à leur place et exigent tellement de ressources (matérielles et temporelle ainsi qu'intellectuelles !) que c'est finalement une MAUVAISE idée !
* Le premier addons à installer sur Ipcop est BOT :
C'est presque totalement obligatoire d'utiliser BOT, car c'est l'outil qui permet de rémdier à ces politiques par défaut décrites par ccnt (et le newbie-kit).
Avec BOT, il est aisé d'interdire tout puis d'autoriser seulement ce qui est nécessaire.
* "J'ai installé dans une petite PME un serveur IPCOP afin de filtrer un peu internet" :
Beh non ! Ipcop est un firewall : il filtre les flux. Mais le filtrage des URL pour la navigation c'est Squid qui le réalise. C'est important de le dire parce, justement, Squid est exigeant en ressource mémoire !
Selon la taille de l'entreprise, il est mieux et plus sût de placer le proxy Squid sur une machine distincte (qui sera la seule autorisée à accéder à Internet pour http). Pour 5 à 10 micros, on peut laisser Squid sur Ipcop, mais au delà de 10-15 utilisateurs, c'est sérieusement à considérer !
* De même, nous ne conseillons pas un addons comme Copfilter ou Snort !
Les 2 semblent utiles sur le papier mais ne sont pas à leur place et exigent tellement de ressources (matérielles et temporelle ainsi qu'intellectuelles !) que c'est finalement une MAUVAISE idée !
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par foxer98 » 25 Fév 2010 23:36
jdh a écrit:Pour compléter ccnet (des fois c'est lui qui me complète !),
* Le premier addons à installer sur Ipcop est BOT :
C'est presque totalement obligatoire d'utiliser BOT, car c'est l'outil qui permet de rémdier à ces politiques par défaut décrites par ccnt (et le newbie-kit).
Avec BOT, il est aisé d'interdire tout puis d'autoriser seulement ce qui est nécessaire.
* "J'ai installé dans une petite PME un serveur IPCOP afin de filtrer un peu internet" :
Beh non ! Ipcop est un firewall : il filtre les flux. Mais le filtrage des URL pour la navigation c'est Squid qui le réalise. C'est important de le dire parce, justement, Squid est exigeant en ressource mémoire !
Selon la taille de l'entreprise, il est mieux et plus sût de placer le proxy Squid sur une machine distincte (qui sera la seule autorisée à accéder à Internet pour http). Pour 5 à 10 micros, on peut laisser Squid sur Ipcop, mais au delà de 10-15 utilisateurs, c'est sérieusement à considérer !
* De même, nous ne conseillons pas un addons comme Copfilter ou Snort !
Les 2 semblent utiles sur le papier mais ne sont pas à leur place et exigent tellement de ressources (matérielles et temporelle ainsi qu'intellectuelles !) que c'est finalement une MAUVAISE idée !
Merci de votre aide, un petit question BOT = BlockOutTraffic ???? , la PME dispose de 10 postes.
- foxer98
- Matelot
- Messages: 3
- Inscrit le: 25 Fév 2010 17:55
par foxer98 » 27 Fév 2010 01:15
ccnet a écrit:Par défaut et sans addon ipcop laisse tout sortir. Tout est donc normal. Puisque vous n'utilisez pas le mode transparent il est nécessaire de bloquer le trafic sortant vers le port 80 si vous ne souhaitez pas que les utilisateurs bypass votre proxy simplement.
Au delà de ce problème factuel (parce que la documentation n'a pas été lue), deux remarques et une solution.
1. ipcop n'est pas l'endroit où mettre un proxy
2. Le blocage du trafic sortant est aussi important que celui du trafic entrant pour la sécurité.
Pour bloquer le trafic sortant installez BOT sur ipcop.
Bonsoir,
Quand tu dis bloquer tout le traffic du port 80 ca veux dire quoi une règle avec BOT car quand je fais ca, je bloque tout même en passant par le proxy donc je comprend pas trop comment faire.
Xav,
- foxer98
- Matelot
- Messages: 3
- Inscrit le: 25 Fév 2010 17:55
par jdh » 27 Fév 2010 09:26
Sur ipcop, Squid (i.e le proxy) écoute sur 800/tcp.
Donc la règle est aisée à écrire.
Ensuite, on peut (au choix) :
- régler manuellement le proxy de chaque poste,
- utiliser une gpo pour régler le proxy de chaque poste (ne fonctionne pas pour toutes les applis !),
- utiliser wpad.
Mais il faudra bien avoir une règle d'interdiction de 80/tcp !
Donc la règle est aisée à écrire.
Ensuite, on peut (au choix) :
- régler manuellement le proxy de chaque poste,
- utiliser une gpo pour régler le proxy de chaque poste (ne fonctionne pas pour toutes les applis !),
- utiliser wpad.
Mais il faudra bien avoir une règle d'interdiction de 80/tcp !
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité