Ipcop 1.4.21 + blockouttraffic

[anais.ralf]

Bonjour à tous,

je vous remercie de lire ma prose et j'espère que malgré mes lectures, la réponse à cette question n'a pas était offerte depuis longtemps. Si c'est le cas, je suis désolée et vous prie de pardonner une newbie qui essaie de bien faire.

Voila, je travaille dans une collectivité territoriale.
Sur notre réseau, nous avons six réseaux ip.
192.168.0.0/24
192.168.10.0/24
192.168.20.0/24
192.168.30.0/24
192.168.40.0/24
192.168.50.0/24
la "maison mére" est le 192.168.0.0/255.255.255.0
les sites distants via des passerelles locales se connecte à une passerelle centralisée 192.168.0.17 qui a comme passerelle de sortie internet le firewall (192.168.0.1) que je viens d'installer (ipcop v 1.4.21).


dans le fichier /etc/rc.c/rc.local du firewall IPCop (192.168.0.1) j'ai ouvert les routes vers les sites distants
route add -net 192.168.10.0/24 gw 192.168.0.17
route add -net 192.168.20.0/24 gw 192.168.0.17
route add -net 192.168.30.0/24 gw 192.168.0.17
route add -net 192.168.40.0/24 gw 192.168.0.17
route add -net 192.168.50.0/24 gw 192.168.0.17
Ainsi, tous les sites distants sortent sur le net via le firewall centralisé.

De plus, j'ai aussi installé advproxy et bien entendu j'ai autorisée les sous-réseaux décrit précédemment.

Jusqu'à la pas de problème.

J'installe BlockoutTraffic v 3.0.0. Je suis la doc, et crée les services. sur le réseau 192.168.0.0/24 (green network) tous fonctionne comme voulue.
mais les sites distants ne "fonctionne" plus (il ne peuvent sortir sur internet).

Alors je bidouille, panique et bien entendue ne trouve rien afin que je puisse aussi, tester les ports de sorties vers internet de mes sites distants.
Je suis persuadée qu'il s'agit d'un problème de paramétrage de BlockOutTraffic.

Je vous remercie pour votre réponse ou de m'indiquer (merci, merci) si la réponse à déjà était formulée.

Merci à tous.

Anaïs

[Titofe]

Bonjour,

Bel est fort pour le détail, mais il manque tout de même je pense lu plus important pour pouvoir répondre.
Comment les sites distants sont-ils reliés entre eux ?

Cdt,

[anais.ralf]

Heuh oui bien sur,

alors

En maison mère nous avons un vpn sdsl de 4 M0. les autres sites distants sont en adsl 8Mo/512Ko reliés à ce vpn.

C'est une société commercial qui nous as vendu cette solution.

A+

[Titofe]

les sites distants via des passerelles locales se connecte à une passerelle centralisée 192.168.0.17 qui a comme passerelle de sortie internet le firewall (192.168.0.1) que je viens d'installer (ipcop v 1.4.21).

Je ne dis pas non à un schéma détaillé du réseau.

Question :
Avant d'activer BOT, cela à-t-il fonctionné ?

[anais.ralf]

OUi, quand blockouttraffic est désactiver tous fonctionne normalement. Tous les sites répondent.
Quand j'active BOT seul la maison mère fonctionne. le autres sites distants ne peuvent même pas pinger le 192.168.0.1.

C'est pourquoi je pense à un pb de paramétrage ou de mauvais chemin de gataway.

voici le schéma
-------- -------------------------------
! site1 !--! passerelle 192.168.10.1 !--Adsl 8Mo/512K0------- !
-------- ------------------------------- !
!
-------- ------------------------------- !--Adsl 8Mo/512K0-----
! site2 !--! passerelle 192.168.20.1 !----Adsl 8Mo/512K0------!
-------- ------------------------------- !
!
------------------------------------------------------------ -------------------------
SDSL 4M0 - Maison mère passerelle 192.168.0.17 ! ---- Firewall 192.168.0.1 ----- INTERNET
------------------------------------------------------------ --------------------------
!
!
-------- ------------------------------- !
! site3 !--! passerelle 192.168.30.1 !----Adsl 8Mo/512K0----- !
-------- ------------------------------- !
!
-------- ------------------------------- !--Adsl 8Mo/512K0-----
! site4 !--! passerelle 192.168.40.1 !----Adsl 8Mo/512K0----- !
-------- ------------------------------- !
!
-------- ------------------------------- !
! site5 !--! passerelle 192.168.50.1 !----Adsl 8Mo/512K0----- !
-------- -------------------------------

Merci pour tes efforts.

Anaïs

[Titofe]

OUi, quand blockouttraffic est désactiver tous fonctionne normalement. Tous les sites répondent.
Quand j'active BOT seul la maison mère fonctionne. le autres sites distants ne peuvent même pas pinger le 192.168.0.1.

C'est pourquoi je pense à un pb de paramétrage ou de mauvais chemin de gataway.

Je le pense aussi, mais honnêtement votre schéma est illisible et cela n'aide pas ...

Refaite votre schéma et donnez nous les règles mis en place sur BOT.

[jdh]

Je suis surpris de cette organisation :
- ipcop est conçu dans un contexte SIMPLE : un réseau Green, un réseau Red avec idéalement l'ip publique directement sur l'interface,
- le proxy Squid est configuré avec un seul réseau Green,
- il est probable qu'il y a déjà un "firewall mutualisé et central",
- l'ipcop serait configuré "sans Red".

Il est essentiel, pour être efficace,
de ne pas choisir une solution technique (ce qui a été fait)
avant d'avoir défini CLAIREMENT des objectifs (ce qui n'est pas fait).

AMHA il est assez contradictoire
- de faire gérer le VPN par le FAI,
- de tenter de filtrer (en sortie) réseau par réseau ou pour l'ensemble.

Si votre besoin est de gérer un firewall global, cela me parait compromis, et la meilleure solution est de gérer soi-même autant de firewall que de sites (avec le VPN).

Si votre besoin est un proxy, il faut d'abord comprendre que chacun désactivera le proxy automatique ou manuel et passera outre.
De plus, pourquoi ne pas créer son propre proxy plutôt qu'utiliser un firewall pour une seule fonction.
Enfin un proxy central paraitra lent pour les sites distants !

Un schéma propre est utile, mais, plus encore, les objectifs ...

[anais.ralf]

Bonjour,

En avant propos, je vous transmet une représentation du réseau :



En second lieu, et pour mieux répondre aux interrogations de jdh (que je remercie au passage)
Je travaille dans une collectivité territoriale, donc je décide de pas grand chose. Nos cadres veulent et nous devons faire.
Il y a qu'un firewall (avec budget égale à zéro), le choix de la technique et du fai a été décidé sans qu'une petite technicienne comme moi soit informée. Juste à la fin, on m'a dit c'est comme ça tu fais avec. je précise que parmi les élus, il y a plusieurs ingénieurs (dont certain se la "pète grave" mais je ne suis qu'une fille après tout). Désolé de la brutalité de ma réponse, mais c'est la vérité.
Cependant, l'idée de mutualisation des moyens m'a parue très intéressante. Et oui je paie des impôts aussi.


Ensuite, le firewall fonctionne très bien (le proxy advproxy fonctionne aussi). Les deux seuls permettent à tous le monde d'avoir les mêmes règles de sécurité. ce qui va me permette aussi l'installation de URLFILter (par exemple) et je pense que cela fonctionnera (enfin j'espère).
Mais quand j'active BlockOutTraffic, les sites distants ne sont plus en mesure de venir sur le site principal et donc d'utiliser le firewall mutualisé.
Comme il s'agit d'un programme qui bloque les paquets sortants, je me demande comment indiquer à BOT les routes des gateway.
Je ne vois que cet aspect qu'il puisse nous bloquer. Autrement dit, connaissez vous les paramètres à rentrer dans BOT pour qu'il fasse (très bien du reste) son travail.

Encore, une fois, je suis remercie de prendre de votre temps pour moi.

Anaïs

[jdh]

Le schéma (traditionnel) n'est pas exactement celui là !

Code: Tout sélectionner

Internet <-> Firewall mutualisé (opérateur) <-> Rtr1 <-> réseau site 1
                                            <-> Rtr2 <-> réseau site 2
                                            <-> Rtr3 <-> réseau site 3
...


Avec en plus un VPN entre les 6 routeurs de façon à ce que les réseaux (internes) se voient.

Cela signifie que, sur chaque site, on accède en totalité à Internet, firewall ou proxy central ou pas !
Le seul firewall est celui de l'opérateur qui est généralement tout ouvert en sortie.

Dans ce schéma, on peut tenter de mettre un firewall comme Ipcop sur le site central, mais ...
- Ipcop n'est pas du tout conçu pour avoir Red et Green dans le même réseau !
- Ipcop peut fonctionner comme seul proxy avec restriction,
- Le proxy d'Ipcop devra être modifier manuellement puisqu'il y aurait plusieurs réseaux (Green) clients du proxy.

.... (à suivre) ...

[anais.ralf]

Je me suis mal exprimée.

Notre sortie internet est une autre sortie ADSL Max.
Le VPN entre nos sites est "tout ouvert" en effet.

notre firewall est donc sur le green les six réseaux (192.168.0.0 // 192.168.10.0 // 192.168.20.0 //192.168.30.0//192.168.40.0//192.168.50.0)
et sur le red notre sortie internet.

Merci

[Titofe]

Bonjour,

Vous nous n'avez toujours pas indiqué les règles que vous utilisez sur BOT, même si doit bien l'admettre que sans savoir cela, je pense que votre souci vient que n'avez pas autorisé l'accès des sites externe à passer.
Ente autre vous ne nous donnez aucune information sur les tunnels utilisées des sites distants, type de tunnel, adresse, etc.

Cdt,

[jdh]

Voilà une précision utile !

Sur le site 1 (site central, adressage 192.168.0.0/24), il y a donc 2 routeurs en sus d'un ipcop (firewall) :
- un routeur (SDSL 4M) vers les autres sites via un VPN,
- un routeur (ADSL Max) vers Internet.

Ce que je recommanderai dans ce cas :
- le routeur ADSL Max doit être dans un autre réseau ip (192.168.99.0/24),
- le firewall (ipcop ou mieux pfSense) doit disposer de 2 cartes réseaux : l'une relié au réseau interne (192.168.0.0/24), l'autre relié au routeur ADSL max par câble croisé,
- le firewall aura sa passerelle par défaut vers l'ADSL Max mais aura des routes vers les autres sites via 192.168.0.1 (le routeur SDSL),
- tous les PC du site auront comme passerelle le firewall (adresse ip interne),
- le proxy, sur le firewall, aura comme réseau client tous les réseaux (site1, site2, ...).

A terme, il faudra envisager de disposer de 2 PC : l'un comme firewall, l'autre comme proxy; car la tache n'est pas du même ordre ...

[anais.ralf]

Merci.

J'ai bien noté la séparation du proxy et du firewall. Cependant mon pb pour le moment est BlockOUttraffic.

savez-vous si ce programme accepte les sous-réseaux.

A+

Anaïs

[jdh]

Je n'ai que très peu de connaissances en Ipcop.
Je sais juste qu'Ipcop n'est pas conçu pour 2 réseaux Green (ou, ici, des réseaux Green via VPN), mais que ce n'est pas (totalement) impossible !
-> La config réseau avec route est à faire manuellement,
-> La config Squid est à modifier à la main pour indiquer les réseaux clients,
-> BOT doit (devra) créer des règles avec des réseaux sans doute inconnus sur l'interface web.

L'autre solution, qui ne propose pas l'addons urlfilter, ... serait pfSense qui offre "de base" un équivalent de BOT extrêmement simple et intuitif. De plus, Squid (proxy), SquidGuard (blacklist+règles) et LightSquid (visu des logs) sont des packages disponibles et (presqu')aisé à mettre en place. Je peux supposer que c'est un peu différent mais qu'on doit faire approximativement la même chose ...


Entre un marteau et un tournevis, pour une pointe, je préfère toujours le marteau ...

NB : Bien faire la modification d'adresses pour le routeur ADSL Max du site central ...

[Titofe]

L'autre solution [...] serait pfSense qui offre "de base" un équivalent de BOT extrêmement simple et intuitif.

Je rejoins jdh.
Pour ma part, pfSense et la meilleure solution à votre souci, même si votre problème est la non-gestion des VPN.