[Résolu] Probleme de filtrage

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu] Probleme de filtrage

Messagepar heyboy31 » 17 Mars 2010 17:18

Bonjour à tous

Après plusieurs recherches sur ce forum je n'ai toujours pas trouvé la reponse à mon problème.
En effet, je n'arrive toujours pas à faire fonctionner le filtrage de IPCOP.



Configuration du réseau = GREEN + RED

Reseau local = 192.168.10.x/255.255.255.0
ip carte reseau green = 192.168.10.1/255.255.255.0
ip carte reseau red = 192.168.50.2/255.255.255.0
IP freebox= 192.168.50.X


[]<--------------------->()<----------------->(x)<----------->internet

Green..........................IPCOP....................Freebox................RED




apres avoir installer : addons server
adv proxy
URLfilter



j'ai effectuer les configurations suivante:

Activé sur Green : Cocher
Activé la transparence sur Green : Cocher
Activé urlFilter : cocher
Mise à jour de la blacklist de l'université de Toulouse : OK


je coche les categories que je souhaite bloquer , j'ai mis des URL speciaux en activant la blacklist perosnnalisée.


La configuration parrait correct pourtant il n'y a aucun filtrage.



Lorsqu'on enregistre & redemarre : plantage du net.

Si l'on veux retrouver internet, il faut qu'on décoche "activé sur Green" "Activé la transparence" "activé urlfilter" qu'on sauve et que on redémarre.


Pourquoi le filtre ne marche donc pas ?

Quelle configuration devrons nous avoir pour que le filtre fonctionne ?

MERCI d'avance :)
Dernière édition par heyboy31 le 02 Avr 2010 15:32, édité 2 fois au total.
heyboy31
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mars 2010 17:13

Messagepar jdh » 17 Mars 2010 18:09

Désolé, les schémas sont illisibles et donc incompréhensibles !

(Je soupçonne un problème d'adresses ip ....)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar heyboy31 » 17 Mars 2010 18:17

j'ai refait brievement le schema avec les adresses IP en claire au dessus de ce dernier :)
heyboy31
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mars 2010 17:13

Messagepar coco69 » 18 Mars 2010 01:14

Bonjour,

A priori, les réglages sont bons.
Sur mon installation , lors de la mise à jour avec certaines blacklists, il n'y a parfois plus de filtrage. Mais une simple "redémarrer et enregistrer" suffit pour tout remettre en ordre .


Peut être un problème d'inter relations entre les différents addons utilisés (quel est l'intérêt d'installer addons server pour utiliser URL Filter ? )
Ipcop, avec juste URL filter, fonctionne sans problème.
coco69
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 11 Mai 2008 16:49

Messagepar coco69 » 18 Mars 2010 01:35

Bonjour,

une autre idée, en complément de mon post précédent: il y a parfois des problèmes (en tout cas pour moi) de mise à jour directe sur la Blacklist de Toulouse (mise à jour directe considérée comme une attaque par le serveur, bloquant alors le téléchargement de la base).

Avez vous essayé avec une autre blacklist ? ou en téléchargeant manuellement la base de Toulouse?
coco69
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 11 Mai 2008 16:49

Messagepar ccnet » 18 Mars 2010 01:38

Un peu confuse votre demande.

1.
En effet, je n'arrive toujours pas à faire fonctionner le filtrage de IPCOP.

De quoi parlez vous ? en lisant la suite je comprend qu'il s'agit du filtrage d'url du proxy.
Le proxy sur le firewall, je n'y reviens pas, nous sommes plusieurs à a voir dit pourquoi ce n'est pas l'endroit.

2.
Green..........................IPCOP....................Freebox................RED

C'est bien sûr
Green..........................IPCOP................RED....................Freebox
qui convient.

3. Remarques générales:
La freebox pourrait (si l'abonnement le permet) judicieusement être configurée en pont. L'ip publique serait sur Red directement. Une translation de moins.

Nous l'avons dit le proxy n'est pas vraiment à sa place sir le firewall.

Plus important que le proxy, ajouter BOT à Ipcop qui, par défaut laisse tout sortir, ce qui est très dangereux.

Regarder les logs ne serait pas inutile pour trouver une piste.

Lorsqu'on enregistre & redemarre : plantage du net.

Ce qui signifie quoi techniquement ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar heyboy31 » 18 Mars 2010 11:15

Merci a tous pour vos réponses

pour coco69 : j'ai pas vraiment testé sans addons sever, j'ai lu sur un tutoral qu'il était conseillé de l'installer , je vais tester sans, voir ce que cela fait :)

personnellement je pensais que cela venais aussi de la blacklist de Toulouse mais difficile d'en trouver une autre donc bon :)


pour ccnet : pour la commande enregistrer et redémarrer cela est simple ==> je n'arrive plus a obtenir une page web,sa bloque tout les URL alors que je les autorise sur la whitelist, je ping correctement tout les URL que je veux mais impossible d'y accéder...

je vais voir si BOT m'aidera a bloquer les URL que je veux
heyboy31
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mars 2010 17:13

Messagepar ccnet » 18 Mars 2010 12:02

je ping correctement tout les URL que je veux


je vais voir si BOT m'aidera a bloquer les URL que je veux


Manifestement les concepts ne sont pas au clair dans votre esprit. Il faudrait mettre cela à plat et comprendre avant de vous lancer dans l'installation d'ipcop et d'un proxy.

BOT ne bloquera jamais une url.

Vos problèmes sont très probablement liés à des incompréhension.

je n'arrive plus a obtenir une page web,sa bloque tout

Il y a probablement un message d'erreur envoyé par le navigateur. Lequel ? Des faits techniques ! pas de la littérature ! Il y a aussi sans doute des logs produits par ipcop.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar heyboy31 » 18 Mars 2010 13:36

J'ai suivi les tutoriels pour l'installation d'IPCOP et de tout ce qui va avec. J'avoue que je ne comprend pas lorsqu'un problème a lieu.



1)
La page d'erreur que me met mon navigateur est celle ci :


L'URL demandée n'a pu être chargée

En essayant de charger l'URL : http://www.google.com/firefox

L'erreur suivante a été rencontrée :

Impossible d'associer une adresse IP à la machine www.google.com.

Le serveur de noms a retourné :

Timeout

En d'autres termes :

Le cache n'a pas été en mesure de résoudre le nom de
machine présenté dans l'URL.
Vérifiez si l'adresse est correcte.



D'après ce que j'ai compris de cette page, c'est qu'il doit y avoir une erreur concernant la configuration du DNS.



Dans l'onglet : Services >> DNS Dynamique.

La case : Utilisation de l'IP RED classique de IPCop durant les connexions est coché.

Dans l'onglet : Réseau >> Connextion.

J'ai renseigné en manuel le DNS Primaire et Secondaire de free : 212.27.40.240 et 212.27.24.241


2) Concernant les logs, je ne sais pas ou je pourrai les trouver :oops: :oops:

Je pense que ça doit être ça

Code: Tout sélectionner
Date:   03/18 10:05:59    Nom:   (http_inspect) DOUBLE DECODING ATTACK
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    192.168.50.2:57308 -> 69.63.189.26:80
Références:   aucune entrée trouvée   SID:    n/a

Date:   03/18 10:09:49    Nom:   DNS SPOOF query response with TTL of 1 min. and no authority
Priorité:   2    Type:   Potentially Bad Traffic
Informations sur l'adresse IP:    212.27.40.240:53 -> 192.168.50.2:58529
Références:   aucune entrée trouvée   SID:    254

Date:   03/18 10:13:20    Nom:   (http_inspect) DOUBLE DECODING ATTACK
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    192.168.50.2:1174 -> 209.85.229.149:80
Références:   aucune entrée trouvée   SID:    n/a

Date:   03/18 10:13:20    Nom:   (http_inspect) DOUBLE DECODING ATTACK
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    192.168.10.150:1174 -> 209.85.229.149:80
Références:   aucune entrée trouvée   SID:    n/a

Date:   03/18 10:19:58    Nom:   (http_inspect) DOUBLE DECODING ATTACK
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    192.168.50.2:57535 -> 66.220.145.10:80
Références:   aucune entrée trouvée   SID:    n/a

(...)


"DNS SPOOF query response with TTL of 1 min. and no authority"

J'ai donc surement trop de latence ce qui m'empêche de me connecter sur internet ?





3) Désoler de mes Incompréhensions ...

[/code]
heyboy31
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mars 2010 17:13

Messagepar jdh » 18 Mars 2010 14:39

Les messages indiqués sont ceux issus de Snort (détection d'intrusion) ... qu'il ne faut CERTAINEMENT pas utiliser !


A noter :

BOT est L'OUTIL de filtrage indispensable pour Ipcop : le raisonnement est un trafic = un service. Il faut décrire quel service et quel sens, c'est simple à faire à partir du moment où on connait les protocoles à utiliser.

Le proxy (Squid) et les addons assure un filtrage à l'intérieur du trafic autorisé par BOT.

Vous oubliez SNORT avant quelques années !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar heyboy31 » 18 Mars 2010 17:20

J'ai bien désactivé snort comme Jdh me l'a demandé.

Après l'installation de bot grâce à ce tutoriel " http://www.blockouttraffic.de/gettingstarted_fr.php ", l'installation c'est très bien passer et la configuration au poil. J'ai du rajouté certains protocoles qui n'est pas décrit sur le tutoriel pour avoir accès à internet (http etc).

J'ai fais des testes pour voir ou se trouve les problèmes.

1er teste:

Pare-Feu >> Gérer le trafic sortant >> BlockOutTraffic : Activé


Services >> Proxy Avancé >>

-activé sur green : désactivé
-mode transparent sur green: désactivé
-UrlFilter : désactivé
-port du serveur proxy : 800

Avec ces configurations, j'ai accès à internet.




2eme teste:

Pare-Feu >> Gérer le trafic sortant >> BlockOutTraffic : Activé

Services >> Proxy Avancé >>

-activé sur green : activé
-mode transparent sur green: activé
-UrlFilter : désactivé

Je n'ai pas internet, la page de mon navigateur est la même que celle décrite sur mon précédent post.

J'en conclu que mon réelle problème ne venait pas d'UrlFilter mais de mon proxy ...

Code: Tout sélectionner
INPUT  eth1  TCP  82.235.253.64 25818    192.168.50.2   135(EPMAP)

GREEN REJECT     eth0  UDP  192.168.10.150   137(NETBIOS-NS) 192.168.10.255 137(NETBIOS-NS)


Je vais tenter de refaire d'autres recherches sur le forum avec les mots clés précis.
heyboy31
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mars 2010 17:13

Messagepar heyboy31 » 02 Avr 2010 15:31

J'ai enfin réussi a trouver le problème concernant le proxy (advproxy) qui me mettait comme erreur :

Le cache n'a pas été en mesure de résoudre le nom de
machine présenté dans l'URL.
Vérifiez si l'adresse est correcte.


La solution se trouve dans le fichier : /etc/resolv.conf

-Si je me souviens bien dans ce fichier se trouvé :
nameserver 127.0.0.1

-Je les ai changé et j'ai mis l'adresse DNS de mon FAI
nameserver 212.27.40.240
nameserver 212.27.40.241

Seulement le filtre ne marchait pas encore.

Pour ça j'ai due mettre à jour advproxy en 3.0.5 et réinstallé urlfilter.

Miracle ça fonctionne =DD
heyboy31
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mars 2010 17:13


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron