Validité des règles BOT

[Franky05]

Bonjour à tous,

Je viens chercher auprès de vous des conseils sur d'éventuelles erreurs que j'aurai pu commettre sur mes paramétrages BOT.

Objectif : autoriser le surf (protocoles http, (https) et ftp) de mes stations clientes se trouvant en zone green via mon proxy et uniquement lui se trouvant en zone orange.

Configurations serveurs :

- Firewall IPCop :
Version : 1.4.21
Mode : green + orange + red
Paramétrages IPs des différentes pattes : green = 192.168.1.2 ; orange = 192.168.2.2 ; red = 192.168.0.2
Addons installés : BOT

- Proxy filtrant SME Server :
Version : 7.5.1
Mode : serveur uniquement
Paramétrage IP : 192.168.2.3 (se situe en zone orange donc)
Configuration spécifique : réseau local supplémentaire = 192.168.1.0/255.255.255.0 via 192.168.2.2
Contribs installées : sme7admin ; Dansguardian ; Dungog-Dansguardian

Paramétrages BOT :

- Règle 1 :
Action : Accepter
Réseau Interface : Green
Source : Green Network
vers
Réseau Interface : Orange
Destination : 192.168.2.3 : Internet. Sous le terme Internet se cache un regroupement de réglages : le port 53 (domain), le port 443 (https) et le port 8080 (port du proxy SME)

- Règle 2 :
Action : Accepter
Réseau Interface : Orange
Source : 192.168.2.3
vers
Réseau Interface : Red
Destination : Any

Je suis un peu plus hésitant sur la règle 2. En virtuel à la maison j'obtiens l'objectif réseau voulu à savoir que les stations clientes de la zone green doivent impérativement passer par le proxy pour pouvoir surfer.

Je ne sais pas si j'ai été assez clair. J'attends maintenant vos remarques/critiques sur mes paramétrages BOT afin de les mettre en œuvre sur mon IPCop en production.

Cordialement.

Frank.

[fleib]

Dans ton post, tu parles d'autoriser le protocole https, mais aucune regle n'y fait reference...

De plus, ta règle 2 parait un peu trop permissive.

[Franky05]

Bonjour,

Rajouté.....

Frank.

[Franky05]

De plus, ta règle 2 parait un peu trop permissive.

Tu affinerais comment ?

Par contre j'ai un problème que je viens de rencontrer, je ne m'en était pas aperçu avant.
Sur green, j'ai un serveur NAS (ip fixe) joignable par interface web sur le port 5000 et un contrôleur de domaine (ip fixe) joignable lui aussi par interface web sur le port 909. Depuis l'activation de BOT plus moyen d'arriver sur les interfaces d'administration depuis une station cliente se trouvant elle aussi sur green. J'ai tenté beaucoup (beaucoup !)de choses dans BOT pour pallier à ce problème mais échec. Je n'ai trouvé que la lamentable solution de dire à Firefox de ne pas utiliser le proxy pour ces deux IPs. Mon proxy se trouvant en zone orange, faut-il que je fasse une sorte de boucle pour le port à ouvrir : vert ---> orange et orange ---> vert ?

Si quelqu'un peu m'éclairer...

Cordialement.

Frank.

[Mister-Magoo]

Dans le proxy (ou dans ton navigateur), tu indique de ne pas utiliser de proxy pour les IP de ton LAN ...

[Franky05]

Bonjour,

Dans le proxy (ou dans ton navigateur), tu indique de ne pas utiliser de proxy pour les IP de ton LAN ...

Regarde dans mon 3ème post, c'est ce que j'ai fait malheureusement....

Merci.

Cordialement.

Frank.

[Mister-Magoo]

Oui et ... ça marche non ??
Comment veux-tu faire autrement ??

[fleib]

De plus, ta règle 2 parait un peu trop permissive.

Tu affinerais comment ?

Je n'autoriserais pas "Any" comme destination mais seuleument les ports dont tu as besoin

Exemple: si tu n'as pas besoin d'utiliser SMTP, pourquoi autoriser ce serveur à communiquer sur le port 25?

[Franky05]

Bonjour,

@ Mister-Magoo : oui bien sur ça marche et je ne vois pas comment faire autrement.

@ fleib : il n'y a que mon proxy en orange. Ce qui m'intéressait, était de filtrer les protocoles venant de la zone verte. J'ai tout autorisé de orange vers rouge car je ne connais pas exactement tous les protocoles utilisés par SME pour son bon fonctionnement. Corrige-moi si je me trompe mais tu parlais du SMTP mais si celui-ci n'est pas autorisé de vert à orange à fortiori il ne passe pas de vert à rouge via orange non ? Après qu'il passe de orange à rouge....comme je te l'ai dit je ne veux pas préjudicier au bon fonctionnement de mon proxy mais il est clair que je ne devrais autoriser que ce qui vient de la zone verte.

Il faut que je creuse beaucoup plus le sujet mais je commence à comprendre pourquoi certaines personnes martèlent en permanence que BOT est essentiel au bon fonctionnement d'un réseau sous IPCop. J'avoue que j'en "chie" vraiment depuis l'installation de cet addon, beaucoup de problèmes surgissent alors que je ne les avais pas prévus par manque de connaissances c'est évident.

Merci pour votre aide.

Cordialement.

Frank.

[fleib]

Salut,

J'avais mentionné SMTP à titre d'exemple, mais on pourrait élargir...

Le but de BOT est bien de supprimer et d'éviter tout trafic sortant inutile, je te conseille donc de lister les ports/protocoles utilisés (et dont tu as besoin) sur ta SME et de n'autoriser que ceux ci en sortie.

Il est résultera pour ta machine une utilisation au plus juste de la bande passante et pour toi, une connaissance approfondie du sujet...

Bon courage