FireWall + Proxy (avec des ports ouvert seulement pour 3 PC)

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

FireWall + Proxy (avec des ports ouvert seulement pour 3 PC)

Messagepar via » 08 Avr 2008 10:54

bonjours,

je teste IPcop depuis un petit moment mais je n'arrive pas a faire exactement ce que je veux donc je viens vous exposer ma problematique.

pour commencer, il me faut un proxy firewall !

jusque la, ca va.

configuration en mode green et red pas plus.
deux cartes reseaux avec chaqu'une une adresse IP et masque reseau
eth0 LAN (green) et eth1 WAN(red) et lo pour le local (127.0.0.1)

apres et c'est la que je bloque :
il me faut que je ferme le ftp (port 21 et le port data aussi) pour tout le monde sauf les membres de l'informatique (nous somme 3, donc on peux travailler par adresse IP ou MAC)

apres je devrais ouvrire des ports pour que des societe exterieur puisse faire des prises en main a distance (je ne connais pas les ports utilisés par leur logiciel mais je voudrais savoir le mettre en place rapidement et refermer ces port justa apres leur interventions)

voila j'espere avoire ete assez claire, sinon posser moi toutes les questions qui vont bien

merci d'avance
Via

PS j'ai tester Blockoutraffic mais je n'ai pas reussi a optenire cette config, donc si je dois passe par la, explicité moi les regele a donner (enore merci)
via
Matelot
Matelot
 
Messages: 8
Inscrit le: 08 Avr 2008 10:34

Messagepar ccnet » 08 Avr 2008 11:17

Tout cela est un peu brouillon. D'une façon générale et dans sa configuration par défaut IPCOP laisse TOUT sortir. Prenez la peine de bien assimiler les règles par défaut d'ipcop et donc de regarder dans le newbie kit.
Votre problématique se divise dans un premier temps en deux problèmes distincts : le trafic entrant et le trafic sortant.
Les autorisations pour le trafic entrant (trafic entrant TCP c'est un flag syn à 1, dans le paquet venant de l'extérieur. ici ipcop donne un accès via les transferts de port.
Pour le trafic sortant au niveau ip, puis TCP UDP il n'y a que BOT pour pouvoir le contrôler.

Ensuite vous avez le filtrage http, https, ftp qu'un proxy peut réaliser. Je connais peu les proxy.

Dans BOT vous pouvez entre autres critères prévoir des groupages d'adresses pour mettre en place vos règles. C'est de ce côté qu'il faut regarder.

apres je devrais ouvrire des ports pour que des societe exterieur puisse faire des prises en main a distance (je ne connais pas les ports utilisés par leur logiciel mais je voudrais savoir le mettre en place rapidement et refermer ces port justa apres leur interventions)

Avec quelle solution ? Comme vous ne donnez en pratique aucune information on ne sait pas vous répondre.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar via » 08 Avr 2008 11:37

ok on va parler trafic sortant et entant si tu veux

trafic sortant:

je veux que les utilisateurs de mon reseau puisse utiliser les les services suivant :
http, https, bootpc, bootps ,smpt , smpts ,pop3 ,pop3s ,domain (je sais il faut parler en port mais ca je peux le trouver)

l'informatique a ce service en plus :
ftp et le sftp(si je ne me trompe pas c'est le ftp securisé)
et les port 445 et 222 pour administrater ipcop

je pensais le faire avec blocktrafic (qui integre BOT) mais je n'y arrive pas !!!

je n'arrive pas a ecrire les bonnes regeles

en trafic entrant,
les reponses a ces services mais ca c'est natif

pour le proxy je me demerde, pas de probleme rencontrer

pour les ports entrant supplementaire, je verais ca plus tard
via
Matelot
Matelot
 
Messages: 8
Inscrit le: 08 Avr 2008 10:34

Messagepar ccnet » 08 Avr 2008 14:53

trafic sortant:

je veux que les utilisateurs de mon reseau puisse utiliser les les services suivant :
http, https, bootpc, bootps ,smpt , smpts ,pop3 ,pop3s ,domain (je sais il faut parler en port mais ca je peux le trouver)

l'informatique a ce service en plus :
ftp et le sftp(si je ne me trompe pas c'est le ftp securisé)
et les port 445 et 222 pour administrater ipcop



1 Si BOT est installé, configurer et activé alors tout le traffic sortant, c'est à dire GREEN -> RED est bloqué sauf l'accès ipcop pour le PC dont on a entré l'adresse MAC avant d'activer BOT. Puis on clique le bouton "Activer".

Pouvez vous vérifiez que c'est fait comme indiqué.

2. Je peux vous envoyer une copie d'écran d'exemple de règles BOT fonctionnelles si vous me passez votre mail par mp.

je pensais le faire avec blocktrafic (qui integre BOT) mais je n'y arrive pas !!!

BOT c'est simplement les initiales de Block Out Traffic et blocktraffic c'est quoi ?

en trafic entrant,
les reponses a ces services mais ca c'est natif

Je ne comprend pas ce que vous voulez dire.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar via » 08 Avr 2008 15:17

ccnet a écrit:BOT c'est simplement les initiales de Block Out Traffic et blocktraffic c'est quoi ?


c'est bien BOT et pas blocktraffic comme je l'ai ecrit

ccnet a écrit:
en trafic entrant,
les reponses a ces services mais ca c'est natif

Je ne comprend pas ce que vous voulez dire


que le traffic entrant correspondant a la naviguation web par exemple, est nativement ouvert puisque c'est la reponse a une demande venant de l'interface green
via
Matelot
Matelot
 
Messages: 8
Inscrit le: 08 Avr 2008 10:34

Messagepar ccnet » 08 Avr 2008 16:38

que le traffic entrant correspondant a la naviguation web par exemple, est nativement ouvert puisque c'est la reponse a une demande venant de l'interface green


Je comprend ce que vous voulez dire. L'expression nativement ouvert est impropre. Cette technique qui consiste à accepter un paquet entrant si il est une réponse à un paquet sortant s'apelle "stateful inspection" ou "stateful packet filtering" ou, en français "filtrage de paquets avec état" par exemple. Ce ne sont pas les traductions qui manquent.
Mais il existe des firewalls (devenus rares) qui n'utilise pas cette technique et d'autres qui permettent de ne pas l'activer, en totalité ou sélectivement (Pfsense par exemple).
Bien sur dans ipcop en configuration RED+GREEN on peut dire, approximativement, que "c'est la reponse a une demande venant de l'interface green". En réalité ce qui compte c'est que le paquet a été émis depuis l'interface RED et une réponse (ACK paquet entrant = SEQ+taille segment+1 du paquet sortant) se présente aussi sur l'interface RED. IPCOP, ou une machine sur ORANGE pourrait être à l'origine du paquet initial sans qu'il se soit jmais présenté sur GREEN et tout fonctionnerait.

Sinon je n'ai pas la réponse à la question précédente :

1 Si BOT est installé, configurer et activé alors tout le traffic sortant, c'est à dire GREEN -> RED est bloqué sauf l'accès ipcop pour le PC dont on a entré l'adresse MAC avant d'activer BOT. Puis on clique le bouton "Activer".

Pouvez vous vérifiez que c'est fait comme indiqué.


Postez votre adressage complet. Sinon nous aurons du mal à vous aider. Il nous faut des informations complètes.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar via » 08 Avr 2008 17:07

adresse green
173.16.0.252/255.255.0.0
adresse red
173.16.0.1/255.255.0.0
passerelle 173.16.0.2


je suis en test donc je n'ai pas un adressage different entre la carte green et red.

machine d'administration (adresse mac configurer dans BOT)
173.16.0.28/255.255.0.0

adresse ip de la machine de test
173.16.0.250/255.255.0.0
passerelle 173.16.0.252

internet configurer pour travailler avec un proxy 173.16.0.252 et le port 8080 (je l'ai modifier dans advproxy)

Image

voila ce que j'ai mis en place
je n'ai pas activé les regles qui sont en haut volontairement pour tester que tout est bloqué par defaut!
pour activer regeler par regele, pour verifier mes regeles une par une!

dans cette configuration j'obtiens :

1 - les machines 173.16.0.28 et 173.16.0.250 peuvent se connecter en ssh pour ouvrire une console sur la machine IPCOP
2 - la machine 173.16.0.28 peux faire du https sur le port 445 pour administrer en webadmin (c'est cette machine qui a sont adresse MAC de configurer pour BOT) donc normale
3 - la machine de test ne peux pas se connecter en https sur le port 445

4 - la machine de test ne peux pas surfer sur internet, vous me direz : normale parce que je n'ai pas activer la regele mais elle envoi et recoie de mail !!!!! et la je ne comprend plus

je ne suis pas aller plus loin parce que si je ne comprend pas ce qui ce passe la, je vais faire tout et n'importe quoi

Via
via
Matelot
Matelot
 
Messages: 8
Inscrit le: 08 Avr 2008 10:34

Messagepar ccnet » 08 Avr 2008 17:18

Il est normal que rien ne marche correctement à cause de votre adressage qui ne respecte pas les spécification d'ipcop, ni les RFC. Lire :
newbie kit ici
le site de ch Caleca : http://christian.caleca.free.fr/
un poste précédent où la même erreur a été commise. http://forums.ixus.fr/viewtopic.php?t=40336

Lorsque vous aurez configuré ipcop pour l'utiliser tel que spécifié, que vous aurez mis de l'ordre dans votre adressage, on en reparle !

je suis en test donc je n'ai pas un adressage different entre la carte green et red.

Est ce une raison pour ne pas respecter les spécification du logiciel. Ce n'est un test que vous faites. Votre seul problème est que IPcop ne peut pas fonctionner ainsi.

machine d'administration (adresse mac configurer dans BOT)
173.16.0.28/255.255.0.0

Revoir ce qu'est une adresse MAC.

Edit : il est probable que dans votre configuration actuelle il n'y a aucun trafic qui traverse votre ipcop. Il vous faudrait (re)voir le fonctionnement des protocoles ethernet, arp et icmp pour comprendre pourquoi.
Dernière édition par ccnet le 09 Avr 2008 09:29, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar via » 09 Avr 2008 09:24

ok merci pour ces reponses !!

pour l'adresse MAC, je sais ce que c'est. Je n'ai fait que faire reference a l'adresse ip de la machine pour donner une correspondance avec les informations mentionné au dessu.

pour mon teste je ne suis pas dans la merdeeee alors, parce que je ne vais pas faire pete l'adressage de toute le monde pour faire un teste (ils sont tous en adresse ip static).
via
Matelot
Matelot
 
Messages: 8
Inscrit le: 08 Avr 2008 10:34

Messagepar ccnet » 09 Avr 2008 09:31

Vous nous confirmez que votre réseau d'entreprise est en 173.x.y.z ? Ce n'est pas une erreur de plume ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar via » 09 Avr 2008 09:37

ce nest pas une erreur de plume
via
Matelot
Matelot
 
Messages: 8
Inscrit le: 08 Avr 2008 10:34

Messagepar ccnet » 09 Avr 2008 09:57

L'entreprise est elle titulaire de ces adresses publiques ? Car dans le cas contraire if faut utiliser des adresses privées dans la plage 172.16.0.0 à 172.31.0.0. Il faut bien comprendre que les adresses qui ont été affectées en statique ne sont pas unique. Il y sur internet des machines avec les mêmes adresses, et ceci probablement de façon légitime contrairement à votre entreprise.
Combien de personnes concernées ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar irad » 09 Avr 2008 16:55

Bonjour,

C'est vrai que c'est pas très propre tes IP, je commencerai par changer cela (même si c'est pas vraiment méchant vu que c'est sur un réseau local et que par conséquent les PC sur le net utilise l'adresse de ton routeur mais bon faisons du propre). Pour cela commence par le coté RED tu change l'ip de ton routeur et de ta carte RED sur IPCOP. Ensuite tu t'attaque au green, tu commence par IP COP puis le serveur (ou les serveurs) et pour les poste je te conseil DHCP ça serra plus rapide (mais bon comme tu veut, si tu a le temps de faire 30 machine 1 à une à la mimine ^^).

Petit conseil : si tu prend l'adresse 172.16.0.xxx pour le red, mais le 172.16.1.xxx pour (c'est plus facile de si retrouver après).

Ensuite, je suis la pour poser d'autre question en rapport avec la tienne.

Plutot que d'installer BOT n'est il pas plus simple de modifier le IPTABLE en ligne de commande ?

Cordialement
irad
Second Maître
Second Maître
 
Messages: 35
Inscrit le: 22 Mars 2005 11:23

Messagepar ccnet » 09 Avr 2008 17:14

Plutot que d'installer BOT n'est il pas plus simple de modifier le IPTABLE en ligne de commande ?


Oui si l'on utilise pas ipcop et que l'on parle iptables fluently.
Non si on utilise ipcop. Ce n'est aps sérieusement administrabme et vous ne maitrisez pas les interactions avec ipcop lui même.

même si c'est pas vraiment méchant

A ceci près qu'ipcop suppose que l'on utilise des réseaux privés sur Orange et Green etc ... Sinon problèmes?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar via » 10 Avr 2008 11:59

bon un peux d'eclaircicement dans tous ca !!!

je fais du nat donc je me FOU de mon adressage "prive" ou "local" ou "LAN" ou "green" (comme ca tout le monde va comprendre).

maintenant le DHCP est plus simple mais l'historique de la boite ne me permet pas de le faire maintenant (je ne donnerais pas plus d'expication).

pour ce qui est d'IPTABLES, je suis d'accord avec toi mais je ne metterais pas les mains dedans tout les jours. Et je ne suis pas une bete d'iptable. donc le probleme c'est que l'on va me demandé de mettre des regeles dans 1 mois ou dans 1 an et je devrais le faire ne 1/4 de seconde.

je ne me sens pas d'y reponde aussi vite et aussi facilement donc c'est pour ca que je cherchais un addon plus.


par contre va falloire m'expliqué ce que ca veux dire ca :

"Non si on utilise ipcop. Ce n'est aps sérieusement administrabme et vous ne maitrisez pas les interactions avec ipcop lui même."
via
Matelot
Matelot
 
Messages: 8
Inscrit le: 08 Avr 2008 10:34

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité