IPCOP en firewall transparent ?

[Froozen]

Bonjour,

Je souhaiterai filtrer le trafic web de mon réseau en utilisant le principe du firewall transparent (le firewall s'intercale entre le routeur Internet et le reste du réseau et se comporte comme un simple switch, en filtrant quand même le trafic, mais sans avoir d'adresse IP). C'est différent du mode proxy transparent déjà prévu dans IPCOP.

Pouvez-vous me dire s'il est possible de configurer IPCOP ainsi ?
Sinon, existe-t-il d'autres distributions qui le font ?

Merci

[jdh]

Si vous aviez lu, juste un peu, quelques fils du forum Ipcop ou le newbie-kit, vous sauriez qu'Ipcop n'est pas du tout prévu pour cela !

On ne cesse de répéter que Red DOIT être DISTINCT de Green.


Il y a d'autres firewall qui savent faire cela. Je vous laisse chercher (et ce devrait être TOUJOURS fait avant de poser une question cf la charte !).


NB : Etes vous sûr qu'un firewall "transparent" soit une bonne option ? Ne vaut-il pas mieux un firewall bien visible ?

NB : Le proxy (web) transparent n'est pas toujours non plus la bonne solution !

[ccnet]

Je ne sais pas ce qui motive le choix de cette option mais, compte tenu de la légère confusion que je sens poindre,

filtrer le trafic web de mon réseau en utilisant le principe du firewall transparent

je ne suis pas certain que les raisons soient convaincantes. Filter le trafic web avec le firewall humm ... Trafic web entrant ? Sortant ? Firewall applicatif ?

[Froozen]

Merci pour vos réponses.

Quelques précisions sur le besoin :
Je souhaite filtrer les sites consutlés par les PC de mon réseau (blocage Facebook, MSN, etc... En laissant la possibilité à certains postes d'avoir accès à tout).
L'architecture actuelle : (Internet)=====(Modem/Routeur du FAI)=====(LAN).
Les contraintes :
1) Dans le LAN la majorité des postes ont un adressage fixe, notamment les serveurs, imprimantes... Autant que possible je souhaiterai donc conserver l'adressage existant (y compris l'adresse de passerelle).
2) Le modem/routeur quant à lui est géré par le FAI, je n'ai donc pas les pleins pouvoirs dessus.
3) Je souhaiterai une solution qui permette, en cas de panne du parefeu, de revenir à l'état intial. En effet, l'absence de filtrage pendant 1 ou 2 jours n'est pas grave. L'absence d'Internet l'est.

D'où le fait d'avoir pensé à un firewall transparent pour répondre aux contraintes décrites ci dessus, et à IPCOP pour le filtrage. Qu'en pensez vous ?

[jdh]

Pour filtrer la navigation, le plus rationnel est d'utiliser un proxy de type Squid avec d'abord SquidGuard.

Nous ne cessons de répéter qu'à partir de disons 10 utilisateurs, il FAUT utiliser un proxy (sur une machine) dédié(e) ! (en sus d'un firewall bien évidemment)

Qu'en plus, cela sera mieux sécurisé SI il FAUT définir sur chaque PC le proxy !

On dirait vraiment que vous n'avez fait AUCUNE recherche sur le forum !


NB : quand à l'adressage, si cela concerne 15 machines, cela n'est pas un problème. Au pire, il n'y a que le routeur à changer d'adresse ...

[ccnet]

C'est bien ce que je pensais ... Donc un proxy avec filtrage de contenu (Squidguard) est la solution.

[Froozen]

NB : quand à l'adressage, si cela concerne 15 machines, cela n'est pas un problème. Au pire, il n'y a que le routeur à changer d'adresse ...

Il y a une quarantaine de machines. Je connais mon réseau, si je veux éviter de modifier l'adressage des postes c'est pour des raisons bien précises. Il y a des routes statiques et des paramétrages particuliers sur les serveurs qui hébergent les applications métier, modifier l'adressage serait s'embarquer dans une série de problèmes. Si modification d'adresse il y a, ce sera en effet plutôt du routeur du FAI (si cela est possible de leur côté, et si la prestation n'est pas facturée trop cher).

Pour filtrer la navigation, le plus rationnel est d'utiliser un proxy de type Squid avec d'abord SquidGuard.
Nous ne cessons de répéter qu'à partir de disons 10 utilisateurs, il FAUT utiliser un proxy (sur une machine) dédié(e) ! (en sus d'un firewall bien évidemment)
Qu'en plus, cela sera mieux sécurisé SI il FAUT définir sur chaque PC le proxy !

C'est bien ce que je pensais ... Donc un proxy avec filtrage de contenu (Squidguard) est la solution.

Vous me conseillez donc d'ajouter dans mon réseau un pare-feu ainsi qu'un proxy ?

Code: Tout sélectionner

(Internet)=====(Routeur du FAI)=====(Pare-feu)=====(LAN)
                                       ||
                                     (Proxy)

De cette façon ?

[ccnet]

Vu le parc, ce sera un proxy dédié. Un parefeu : Pfsense avec 3 interfaces(Lan, Wan, Dmz), possibilité de ne pas toucher les adressages en place en configurant l'interface Lan en bridge (pas d'ip) et le proxy dans la dmz. Possibilité de désactiver le proxy par simple modification - désactivation d'une règle sur le firewall. Cette configuration n'est pas réalisable avec Ipcop.

[jdh]

Il faut un firewall en config 3 réseaux Wan+Lan+Dmz.
Il faut installer un proxy dédié en Dmz avec Squid, SquidGuard, ...
Je recommanderai de faire modifier l'adresse interne du routeur par le FAI de façon à maintenir un Wan et Lan différent (c'est tellement plus simple). Idealement s'il pouvait passer en mode bridge ce serait encore meilleur ...

Pour le firewall, pfSense est un bon choix (il a nativement plus de possibilités qu'Ipcop).
Pour le proxy, on peut, selon son niveau de compétence ou son envie, utiliser une Debian + un peu de config, ou utiliser des distributions spécialisées.
Il faudra réfléchir à la façon de configurer les postes (par défaut ni Windows ni FF ne sont en autodétection).
De plus, le schéma peut s'upgrader avec une ADSL dédié relié au proxy (amélioration de la vitesse).

Enfin, créer une DMZ est le début de la sagesse et de possibilités comme le relais mail, ...


Il y a des fils sur ce sujet du proxy, merci de les rechercher pour bien s'imprégner des enjeux ...

[Froozen]

Merci à tous les deux, je vais étudier ça de plus près

[Froozen]

Bonjour, je patauge un peu, pourriez-vous m'aider ?
- Pour créer la DMZ sur Pfsense, il faut que je crée une règle particulière sur l'interface OPT1 ?
- Pour faire "contrôler" le flux HTTP par le proxy, il faut que je crée une règle qui redirige les paquets "LAN > WAN utilisant le port 80" vers une passerelle qui sera l'IP de mon proxy en DMZ ?
- Etant donné que le proxy a qu'une seule interface, comment le configurer pour que cela fonctionne ?
Question subsidiaire, est-ce qu'un proxy transparent peut fonctionne dans cette architecture ?

NB : croyez moi que j'ai tenté des recherches sur le forum, mais soit je ne sais pas chercher, soit je ne sais pas les interpréter (avec proxy/pfsense j'arrive sur une ribambelle de résultats mais aucun ne concerne de près ou de loin ma problématique).

merci d'avance pour votre aide

[jpmgir]

salut
Monter une DMZ avec Pfsense
Monter une DMZ avec Pfsense

[jdh]

pfSense comporte un système de firewalls avec NAT et Rules. (Pour comparer avec Ipcop, BOT est inclus !)

Rules est destiné à décrire chacun des flux autorisés (ou interdits) onglet par onglet (1 onglet = une interface).

Les 2 premières interfaces sont nommées LAN et WAN.
La suivante est nommée OPT1, mais on peut la renommer en DMZ (ce que je conseille de faire).

Ensuite dans l'onglet DMZ on créé les règles dont on a besoin !

On peut imaginer qu'avec un proxy Squid en DMZ, il faudra les règles :

LAN : lan net -> (srv proxy) : tcp/3128
DMZ : (srv proxy) -> any : http + https + ftp

Il est à recommander d'utiliser des alias et d'adopter une façon d'appeler les objets : srvxxxx pour un serveur, portxxxx pour un port, ...

[Froozen]

Bonjour, merci beaucoup pour vos conseils.

Voilà donc l'architecture que j'ai mise en place :

Code: Tout sélectionner

              x.x          A.198       A.148                   A.x 
(Internet)=====(Routeur FAI)============(PFSENSE)=============(PCs du LAN)
                                WAN      B.1 ||        LAN
                                             ||
                                             || DMZ
                                         B.2 ||
                                           (IPCOP)

Réseau A : 192.168.1.0/24
Réseau B : 10.0.0.0/24

J'ai configuré PFSENSE en mode transparent (d'où l'absence d'adresse sur son interface LAN).
Pour le moment, les PCs du LAN arrivent bien à communiquer avec Internet, donc PFSENSE remplit bien son rôle de bridge.
J'ai installé IPCOP en proxy (une seule interface, la GREEN), le temps de faire des tests de fonctionnement, mais à terme je pense installer une Debian avec Squid/Dansguardian. Pas de contre indication ?

Maintenant je souhaiterai faire en sorte que PFSENSE intercepte les requêtes HTTP du LAN et les redirige vers IPCOP, et que celui-ci fasse son rôle de proxy (transparent). Est-ce possible ?
Pensant que c'est le NAT qui pourra remplir ce rôle, j'ai mis en place la règle suivante sur PFSENSE :
If : LAN, Proto : TCP, Ext. port range : 80 (HTTP), NAT IP : 10.0.0.2, Int port range : 80 (HTTP)
Mais ça ne fonctionne pas.

Est-ce que vous pouvez m'aiguiller à nouveau ?

Merci !

[jdh]

Vous ne voulez pas suivre les conseils ?

=> Je préconise de ne pas utiliser un "bridge" même si pfSense sait le faire.
C'est tellement plus simple d'avoir 3 réseaux parfaitement distinct.
Cela coute juste de demander à l'opérateur de changer l'adresse interne de son routeur et de la mettre comme adresse LAN de pfSense.

=> Quand je parle de proxy dédié (et c'est nécessaire pour 40 micros), je ne parle EVIDEMMENT pas d'Ipcop.
Même s'il est possible de faire fonctionner un Ipcop avec une seul carte réseau, c'est quelque chose qui doit être fait par un spécialiste, qui saura réagir au moment où il faudra.
J'ai décris des exemples de config dans des fils parlant de proxy => faites donc une recherche !

Dans ce cas, il NE FAUT PAS faire de proxy transparent : soit vous passez sur les 40 PC et vous configurer le proxy, soit vous essayer de faire de l'auto détection de proxy

(D'ailleurs je déconseille le proxy transparent ... c'est un peu une fausse bonne idée !)