Problème d'IP Source dans les journaux

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Problème d'IP Source dans les journaux

Messagepar darkroxor » 17 Mai 2010 11:14

Bonjour à tous,

Après de nombreuses recherches infructueuses, je viens m'en remettre à vous.

Dans les journaux du serveur mandataire d'IPCop, l'adresse IP Source affichée est celle d'IPCop sur l'interface GREEN (je pense que l'IP affichée devrait être celle du poste concerné sur le réseau GREEN).

Ce seul problème n'était pas vraiment gênant au début bien que dans mon cas, les journaux sont importants car IPCop est implémenté à la tête d'un réseau public et accessible via wifi.

Aussi, j'ai installé le plug-in Urlfilter qui fonctionne très bien jusqu'à maintenant.

Seulement, je dois maintenant configurer IPCop pour que certaines IP du réseau local ne soient soumises à aucun filtrage.

J'ai donc entré ces IP dans le champ "Contrôle d'accès basé sur le réseau - Adresses IP non filtrées (un par ligne)".

Mais cela ne fonctionne pas, les machines concernées sont encore soumises au filtrage d'url.

Je tient à préciser aussi que lorsque que j'entre l'IP de l'interface verte d'IPCop dans cette case, tout le filtrage est désactivé pour tout le réseau GREEN.

J'en suis donc arrivé à la conclusion qu'il y'a un problème lorsque qu'IPCop essaye d'identifier un poste du réseau GREEN qui se connecte au RED :

En effet, c'est l'adresse IP d'IPCop (sur l'interface GREEN) qui est retournée au lieu de l'adresse du poste en question.

Ce problème est-il connu ? Y'a t-il des solutions ?

Merci d'avance de vos réponses.

PS : Le fais que les machines soient en IP fixes ou en DHCP ne change pas le problème.
Avatar de l’utilisateur
darkroxor
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mai 2010 10:33

Messagepar Franck78 » 17 Mai 2010 21:51

Code: Tout sélectionner
Nombre total de sites web répondant au critère pour Mai 17, 2010: 5050
Plus ancien    Plus récent
Heure    Adresse IP source    Site web
21:43:23    10.0.0.2    http://mirrors.nl.eu.kernel.org/opensuse/update/11.2/repodat...
21:43:21    10.0.0.2    http://opensuse.uib.no/update/11.2/repodata/3d51f9e45701b93a...
21:43:20    10.0.0.2    http://ftp5.gwdg.de/pub/opensuse/update/11.2/repodata/3d51f9...
21:43:20    10.0.0.2    http://fr2.rpmfind.net/linux/opensuse/update/11.2/repodata/3...
21:43:19    10.0.0.2    http://ftp.esat.net/mirrors/ftp.opensuse.org/pub/opensuse/up...
21:43:19    10.0.0.2    http://opensuse.uib.no/update/11.2/repodata/3d51f9e45701b93a...
21:43:19    10.0.0.2    http://mirrors.nl.eu.kernel.org/opensuse/update/11.2/repodat...
21:33:52    10.0.0.20     http://www.facebook.com/index.php?


le fichier proxylog.dat (https://xyz:445/cgi-bin/logs.cgi/proxylog.dat), fournit par squid, contient bien l'IP source source de la machine cliente. J'en viens à penser que mon IPCop est bien réglé, ou autrement dit, fait ce qu'on pense qu'il doit faire..... :wink:

C'est donc 'ce-qui-est-rajouté-et-dont-on-ne-doit-pas-dire-le-nom' qui géne...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Titofe » 18 Mai 2010 07:11

Franck78 a écrit:'ce-qui-est-rajouté-et-dont-on-ne-doit-pas-dire-le-nom'
A ce point :?
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar darkroxor » 18 Mai 2010 09:18

Tout d'abord, merci pour vos réponse.

Mais mon journal (fournit par squid) indique bien la mauvaise adresse IP. Cest l'adresse IP de l'interface GREEN d'IPCop qui est affiché (et non l'adresse IP du client)

De plus, je suppose que vous parlez de URLFiltrer quand vous écrivez "ce-qui-est-rajouté-et-dont-on-ne-doit-pas-dire-le-nom".

Après avoir parcouru ce forum, je me suis aperçu que nous étions nombreux à utiliser IPCop en tant que proxy malgré que ce n'était pas son utilisation principale.

Seulement, cette solution fonctionne très bien pour l'instant mis à part mon petit problème d'IP source non reconnue.

J'en conclus donc que c'est URLFiltrer qui pose problème. Y'a t-il un réglage à faire ? Ce problème est-il connu ?
Avatar de l’utilisateur
darkroxor
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mai 2010 10:33

Messagepar Titofe » 18 Mai 2010 11:45

Franck78 et l'auteur d'un Addons pour IPCop équivalent à celui que vous utilisez, donc je ne pense pas qu'il est dit cela dans le sens que vous le souligner.

Sinon je n'ai pas d'IPCop sous la main, mais si mes souvenir son bon il y a des paramètre sur UrlFiltrer ou Advanced Proxy pour réglé ça.
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar darkroxor » 18 Mai 2010 13:28

Hélas, je viens de parcourir les pages de configuration d'advanced proxy et de URLFiltrer sans succès.

J'ai pourtant essayé de modifier plusieurs paramètres susceptibles d'entrainer de ce genre de problème.

Cela étant, j'ai AdvProxy en version 3.0.4 et la page de configuration m'indique qu'une mise à jour est disponible (v3.0.5).

Étant sur un réseau public constamment utilisé, je ne peux pas me permettre d'effectuer des modifications profondes dans la configuration d'IPCop : je n'aurais pas beaucoup de temps et aucun droit à l'erreur.

Cette nouvelle version est-elle stable ? Son implémentation est-elle rapide ? Est-ce que cette mise à jour pourrait régler mon problème ?

Encore merci de votre soutient.
Avatar de l’utilisateur
darkroxor
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mai 2010 10:33

Messagepar darkroxor » 21 Mai 2010 10:18

Petit up :

Je pense avoir trouvé la source du problème : j'ai activé squid en mode transparent.

Du coup, squid intercepte toutes les requêtes pour les renvoyer derrière à ipcop qui s'occupe du routage vers l'interface RED (du NAT en fait)...

Hélas, si je désactive le mode transparent, il faudrait que je configure le proxy sur le navigateur des postes du réseau.

Malheureusement, je ne peux pas le faire, car je rappelle c'est un réseau public (des postes entrent et sortent tout les jours).

Je me retrouve donc coincé ! Y'a t-il un moyen pour que squid intercepte et redirige les requêtes sans forcément faire de NAT ?
Avatar de l’utilisateur
darkroxor
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mai 2010 10:33

Messagepar jdh » 21 Mai 2010 10:43

Non le proxy transparent ne change pas l'adresse source !!!!


Si dans le fichier access.log l'adresse est 127.0.0.1 (ou l'adresse Green), ce n'est pas normal !
Avec un Ipcop fraichement installé, si le squid est passé en mode transparent, dans access.log, il y aura bien les adresses ip du réseau Green (ou Blue).

La seule explication possible à 127.0.0.1 par exemple, c'est qu'il y ait un "empilement" de services.
Par exemple, sur un proxy autre, on peut créer une suite Squid -> Havp -> Squid (c'est d'ailleurs conseillé pour Havp). Dans le dernier Squid écrira une ligne en log, ce sera avec 127.0.0.1.

Soit vous avez une config plus complexe que celle que vous indiquez,
Soit il y a une bizarrerie ...

Pensez vous avoir BIEN décrit votre contexte ?
N'y aurait-il pas CopFilter ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar darkroxor » 21 Mai 2010 12:13

Tout d'abord, merci de votre réponse rapide !

L'adresse indiqué n'est pas 127.0.0.1 mais 89.106.50.1/16 (l'adresse de l'interface GREEN d'ipcop).

Le fais que j'utilise des IP publiques sur un réseau privé peut être la source du problème ? Cela m'étonnerai mais bon, on ne sait jamais...

Mes postes sont dans la plage 89.106.100.1 - 89.106.100.230 (masque : 255.255.0.0).

J'ai regardé access.log, et c'est bien cette adresse (89.106.50.1) qui est indiqué : ce n'est donc pas l'interface graphique d'IPCop qui fais des siennes.

Je précise que je n'ai que deux interfaces : GREEN (avec les postes du réseau) et RED qui le contient que le routeur ADSL.

Je n'ai pas l'addon copfilter. En revanche, j'ai Squidguard et URLFiltrer, je pense donc qu'il n'y a pas d'empilement de services comme vous l'indiquez.

Je viens de faire un petit test avec un poste : j'ai désactivé le mode transparent temporairement (vers midi, y'a personne, je peux faire des manipulations) et j'ai configuré manuellement le proxy sur un client. Et ça a marché ! J'ai bien eu l'IP du client dans le journal (89.106.100.175) !

Ce résultat m'a conforté dans ma "théorie"... C'est squid qui modifierais l'adresse IP lorsqu'il est activé en mode transparent !?
Avatar de l’utilisateur
darkroxor
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mai 2010 10:33

Messagepar Franck78 » 21 Mai 2010 20:08

darkroxor a écrit:Le fait que j'utilise des IP publiques sur un réseau privé peut être la source du problème ?

C'est comment dire.... totalement idiot? Le nombre d'IP privée étant 'restreint' donc facilement reconnaissable, c'est utilisé pour classer, trier, éliminer...vérifier. Je ne sais plus vraiment si il y a des astuces de ce genre dans IPCop, c'est vrai; mais c'est quand même idiot de ne pas se tenir aux usages prévus et trouver des bizarreries :roll:

C'est qu'on on arriverait presque à douter du fonctionnement d'un IPCop+Squid
C'est l'adresse de la station qui est loguée, proxy transparent ou pas.
Sur un IPCop de base installé comme prévu, certe.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 21 Mai 2010 20:35

Idiot ? Un peu, ou plutôt, ignorant et, donc inconséquent !

Autrefois, il y a déjà pas mal d'années, j'ai défini un plan d'adressage ip pour une société multi-sites qui n'était pas "rfc1918 compliant". Et le fournisseur des routeurs ne m'a rien dit (merci MPLS) !

Enfin, aujourd'hui, depuis plus de 10 ans, on doit en parler de la rfc1918 comme de la pénurie d'adresses ip v4. Et puis les sites de type Christian CALECA et bien sur le forum Ixus en parlent abondamment !

Pourquoi compliquer ?


Concernant les fichiers log, Squid stocke dans /var/log/squid/access.log (pour une Debian). J'ignore si pour Ipcop c'est un autre nom de fichier ... Mais avec un peu d'esprit scientifique, un peu de recherche, un peu de parcours de doc et de décryptage de script, cela doit se trouver ... Bref, il ne faut pas être ignorant et ne pas avoir les 2 pieds dans le même sabot ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar darkroxor » 21 Mai 2010 21:42

Hum... C'est vrai je devrais peut-être paralyser tout le réseau de l'entreprise pendant une semaine sous prétexte de changer la classe IP qu'il utilisent depuis 20 ans... Pourquoi je n'y ai pas pensé !? (Ironie)
D'autant plus que nous sommes en VPN avec plusieurs dizaines d'autres sites en France qui adoptent cette configuration IP...

Je me rends bien compte que ce n'est pas une adresse privé... Mais je n'y peux rien, je dois me plier à ces restrictions ! Et j'espère que ce n'est pas la cause du problème ! Squid sait quand même gérer des adresses publiques non !?

Et j'ai beau être idiot / ignorant, j'ai bien dis dans mon message précèdent que j'avais été voir access.log et que c'était l'ip d'IPCop (green) qui était affichée au lieu de celle du client.

Et je n'ai pas eu besoin d'esprit scientifique ou de décryptage pour trouver tout seul ce fichier !

Bref, je pense (et j'espère) avoir suffisamment bien décris ma situation pour mériter des réponses claires, concises et respectueuses.

Malgré tout, c'est vrai que je n'ai pas trouvé de problème similaire sur la toile pendant mes recherches.

Pensez-vous vraiment que ce serait l'utilisation de telles IP qui pose problème !? Dans ce cas, pourquoi j'ai réussi à avoir l'ip d'un client quand j'ai désactivé le mode transparent de Squid ?
Avatar de l’utilisateur
darkroxor
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Mai 2010 10:33

Messagepar jdh » 21 Mai 2010 22:42

Nous n'avons AUCUN historique de votre contexte.
Alors, je m'excuse, mais rappeler qu'il faudrait plutôt avoir un réseau privé avec des adresses privées est JUSTE du bon sens !
Merci d'éviter vos réponses sarcastiques. (Et prenez plutôt un peu de temps à préparer la mise à jour de votre plan d'adressage, car c'est de la procrastination de ne pas l'avoir encore planifié !)


Je n'ai pas monté d'Ipcop en prod, mais j'ai monté de nombreux proxy sur ou hors firewall, et en transparent ou non. Mais c'est toujours l'adresse ip du réseau local qui est inscrite dans access.log.

Alors, je, nous (et Franck78 connait particulièrement bien Squid sur Ipcop !) ne comprenons pas POURQUOI vous avez ce genre de bizarreries. Mais il y a FORCEMENT une raison.

C'est VOTRE réseau, c'est VOTRE installation. Et c'est VOUS qui donnez les infos que VOUS voulez.

Moi, j'en ai assez entendu. Je doute que, avec AUTANT d'informations, et pas même le fichier de conf de Squid ni le script iptables généré, qu'il soit aisé de faire quoi que ce soit ...
(Ipcop, et ses addons, est-il conçu pour avoir une classe publique en interne ? Pourquoi y a-t-il Green dans access.log et Squid fonctionne-t-il quand même ? Pourquoi personne ne s'étonne des difficultés inhérentes à fusionner firewall et proxy quand il y a beaucoup d'utilisateurs ?)


NB : C'était il y a 13-14 ans. Depuis, mes réseaux sont RFC1918 compliant comme il se doit.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 21 Mai 2010 22:59

Squid sait quand même gérer des adresses publiques non !?
Bien sur qu'il sait. Mais entre l'entrée sur GREEN et le log, il n'y a pas 'que' squid'. Il y a des gens qui codent en utilisant ce qu'ils s'attendent à trouver à un endroit.

Si toi, responsable réseau ou sécu ou que sais-je tu ne peux rien, tu peux alerter très fort le N+1, démontrer facilement que c'est une source infinie d'$%#&! incompréhensible et que depuis 10 ans, le problème à couté tant en recherche de fonctionnement bizarroide. Et en profiter pour passer un IPV6 direct.
ca commence en Turquie, passe en Finlande, aux pays bas....Européen comme bloc on dirait
Code: Tout sélectionner
% Information related to '89.106.0.0 - 89.106.3.255'

inetnum:        89.106.0.0 - 89.106.3.255
netname:        GRID-NET1
descr:          Grid IP Backbone
country:        TR
org:            ORG-GBTA1-RIPE
admin-c:        YA160-RIPE
tech-c:         YA160-RIPE
status:         ASSIGNED PA
mnt-by:         MNT-GRID
mnt-domains:    MNT-GRID
source:         RIPE # Filtered
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron