Reprise du message précédent :
Non non non, je n'ai pas de regle de flux autorisant le HTTP de toute facon !  je vois bien les tonnes de tentative de connexion sur n'importe quel ports. mais seules celles sur HTTPS passe par ma regle.  
 
(je vais refaire un test tout de suite car tu m'inquietes quand même là)

HTTPS c'est bien le 443 non ? Je me plante peut être...ce qui est sûr c'est que lorsque je bloque tout, les requêtes sur les ports 443 et 80 (ainsi que tous les autres ports en fait) sont toutes rejetées ! Normal puisqu'il est demandé à l'arkoon de tout bloquer.
 
Donc je comprends pas comment skype fait pour se connecter sur le port 80 dans ce cas là... mystère...

Fais moi une copie de ta fenetre avec tes regles de flux.

http://***.***.***.***/img/arkoon/flux.jpg
 
Au passage, si je supprime les autorisations HTTP et HTTPS, j'ai plus accès au net... pourtant mes 2 naviguateurs sont configurés pour se connecter au relais.

bon alors
 
1-réactives la dernière regle default_rule et passe la en "bloquer"
2-désactives les regles HTTP et HTTPS, tu n'en as pas besoin pour surfer. fait voir la conf de ton relais HTTP?
3-ensuite il faut savoir que les regles sont lues de haut en bas et et Dès qu'une regle est appliqué la lecture des regles s'arrete !
 
si tu crée une regle HTTP pour tout ton réseau et en dessous tu bloques HTTP et HTTPS par exemple et tout ton reseau pourra faire du HTTP ! pour skype c'est ce qui se passe.
 
4-il faut tjrs travailler avec le monitoring pour voir ce qu'il se passe: quelle regle s'applique etc...

La dernière règle ne sert à rien puisque c'est une règle explicite. Arkoon a comme règle implicite (c'est la dernière règle appliquée si une requête ne trouve pas son bonheur dans les règles dont la priorité est supérieure à celle ci) de tout bloquer donc ça ferait redondant de laisser la règle 013, c'est pour ça que je l'ai désactivée.
 
Voici la config du relais http :
http://***.***.***.***/img/arkoon/relaishttp.jpg
 
Pour ta dernière phrase, lorsque j'ai fait les tests j'ai pas bloqué les ports HTTP et HTTPS, mais j'ai désactivé les règles 004 et 005.
 
Bon je vais refaire qq tests...

Yes je sais bien mais ca permet d'y voir plus clair dans les log.
 
Change de port d'écoute du proxy, on sait jamais. Ensuite reconfigure tes navigateurs.

Au fait, je te donne le reste de la config du relais http par écrit :
 
Réseaux autorisés => réseau maquette
Interfaces d'écoute => interface interne
Règles applicatives => tout accepter sans authentification
Chaînages => aucun
 
 
Bonne idée de changer le port d'accès du proxy, j'y avais pensé mais je ne l'ai pas appliqué, je teste de suite ; o )

Bon bah ça marche sur le port 8080 et aussi sur le port 80...va savoir pourquoi ça marchait pas avant ?!?
 
Bon, merci de ton aide et de ta patience.
 
Il ne reste "plus" qu'à trouver comment bloquer Skype !

Suffit de ne pas mettre de passerelle par defaut sur le client, ils n'en ont pas besoin

Pas de passerelle par défaut ???
Et les requêtes DNS qui se font sur des serveurs dans un réseau différent je les résous comment moi ?!?

 
Et bien si les DNS sont configurés sur l'arkoon, c'est l'arkoon qui fait les résolutions de nom de domaine, pas besoin des DNS sur les clients

Le relais HTTP et la liste de serveurs DNS correspondent ? Il ne me semble pas avoir lu dans la doc constructeur que c'était le cas.
 
Enfin c'est pas le plus important !

Au fait pims, t'as effectué des tests avec Skype ?

Oui, c'est bien bloqué

J'veux une preuve !!!
 
Je viens de refaire le test à l'instant et il arrive toujours à se connecter !

Bonjour bonjour !
 
De bon matin j'ai décidé de m'attaquer sérieusement à Skype !
J'ai donc bloquer le trafic HTTPS (port 443) et ce satané logiciel passe toujours au bout de 2 ou 3 minutes d'attentes...
 
J'aimerais bien voir ta règle Pims

Bonne nouvelle !
 
J'ai réussi à bloquer Skype en fin de compte.
En fait dans mon relais HTTP, j'avais autorisé le trafic HTTPS, donc le petit coquin passait par là.
 
Cependant, cette restriction empêche d'utiliser ce protocole qui est souvent utile et pratique sur le net...
 
Existe-t'il une autre solution "moins" restrictive qui se focaliserait plus particulièrement sur Skype ?
 
Je pense que je vais créer un nouveau sujet dans le forum...

Dans mon cas: on utilise une authentification sur l'arkoon (sur un controleur de domaine).
 
Il suffit de ne pas configurer le proxy sous skype et c'est bon.
 
edit: (en ce moment même une machine essaye de se connecter et ca ne fonctionne pas)

Héhé, par défaut Skype ne tente pas de détecter les paramètres du proxy ???

Je viens de désinstaller Skype pour le réinstaller afin de voir les options de connexion par défaut, et hop !!! Y déjà une nouvelle version !!!
 
Bref, par défaut Skype vérifie les paramètres par défaut du proxy...
 
Je pense pas que mon supérieur aille sur chaque poste de l'université pour empêcher à Skype de détecter les paramètres du proxy
 
D'ailleurs, ça l'enchante pas vraiment de reconfigurer tous les postes pour pouvoir utiliser les fonctions de filtrage du relais SMTP.
Actuellement ils sont tous configurés pour se connecter directement au serveur SMTP.

 
comment ca? le filtrage SMTP se fait que en sorti de ton réseau. C'est a dire que seul le serveur SMTP de ton réseau se connecte à l'arkoon. Pas chaque client... (enfin ca dépend comment vous fonctionnez)

Si on veut utiliser les fonctionnalités de l'arkoon, alors oui seul le serveur smtp se connectera à l'arkoon.
Seulement à l'heure actuelle, les machines se connectent directement au serveur smtp ! Et comme il y en a beaucoup...il a pas envie de s'amuser à toutes les reconfigurer...

 
Ils se connectent sur un serveur mail externe à ton réseau?

Ils se connectent sur un serveur externe à leur réseau, mais interne au réseau de l'université je sais pas si je m'exprime bien :\

 
Si ok je vois. Mais dans ce cas je ne suis pas sur que ce soit judicieux de les faire tous passer par le relais...
 
Pour la reception ils utilisent le pop3?

Oui c'est du pop3 pour la réception pourquoi ?
 
 
De tout faire passer par le relais, c'est à dire ? smtp, http, https, ftp, et quoi d'autre ?

Salut, ça va ?
 
Si vous avez des soucis pour configurer un firewall, allez voir cette page, elle est très bien faite : http://eservice.free.fr/pare-feu.html
 
Tout est très bien expliqué pour les débutants, c'est assez clair. Pas très détaillé par contre. Mais au début, mieux vaut y aller tranquille.
 
@+

A mon avis quand on a un arkoon on sait déjà faire un mappage de port depuis longtemps.
Je pense que ton post est une pub déguisé  

Tu nous prends pour qui ???
 
Ton lien, c'est pour les FW personnels et statefull qui plus est.

Désolé, je ne voulais pas vous vexer, j'essayais de me mettre à votre niveau vu que vous n'aviez pas l'air très fort en Arkoon.

tu ns vexe pas mais là c un peu abusé ton post. Et si tu avais lu le post avant de repondre tu verrai que le niveau n'est pas debutant.

[HS]
Surtout que c'est pas le premier topic sur lequel on répond.
Et c'est pas avec tes 3 mois d'anciennetés que tu peut juger de notre niveau que l'on ou que l'on pas sur des FW d'entreprise.
[/HS]
 
Il me semble qu'il y a une option skype dans le moteur IDPS de l'arkoon.

Si si il a raison, je suis un débutant, mais quand même oser me rediriger vers un "simple" firewall logiciel...enfin j'ai bien rigolé !
 
PS : me <= étudiant en seconde année de DUT Génie des Télécom & Réseaux, ça donne quelques bases en la matière... et si t'avais lu les commentaires de pims et moi-même tu te serais aperçu que le problème venait de la compréhension du fonctionnement du firewall...
 
PS bis : mets toi à un autre niveau à l'occasion
 
PS terce : m'obligez pas à fermer mon post ça serait regrettable

 
Quelque chose de constructif enfin !
 
Oui c'est sûrement dans le moteur IDPS que doit se trouver le moyen de bloquer Skype, mais je n'ai peut être pas la dernière version logicielle qui gère le firewall en interne (attention, je parle pas de la suite logicielle de gestion/configuration à distance !)
 
Un technicien certifié par Netasq est passé pour faire une maj du F100 qui me sert pour les tests et dans les nouvelles signatures contextuelles il y a qq chose pour bloquer Skype.............uniquement lors de l'installation ou d'une maj......... donc elle ne fait aucun effet...
 
Wait & See
 
 
PS : pour le pb Skype j'ai créé un autre topic plus approprié car il concerne l'ensemble des firewalls...personne à ce jour n'a trouvé l'astuce Ou alors le secret est bien gardé

 
Oui j'en rajoute une couche encore... le débutant il a quand même crée un serveur FTP et un HTTP en local tous 2 accessibles par le réseau publique...
 
http://***.***.***.***/

Moi, je veux plus entendre parler de netasq.
Il font beaucoup trop d'option (antivirus, idps, ssl,...), et c'est ce que les clients me disent souvent. De plus la suite logicielle par défaut pour le reporting est moyenne.
Ensuite j'ai eu pas mal de bug lors du chargement des confs (obliger de rebooter le FW en prod avec 200 pers dessus )
Donc ... moi, je te dirais pars sur du arkoon, et ce surtout en cas de problème, les traces sont beaucoup plus détaillées.

 
Elle date de quand ton expérience Netasq ?
J'ai entendu dire en effet qu'à leurs débuts ils n'avaient pas une très bonne réputation, cependant depuis plus d'un an ils se sont grandement améliorés !
 
Bizarre que tu n'apprécies pas "Netasq Reporter", moi je le préfère au monitor.
Par contre sur la suite logicielle d'Arkoon c'est l'inverse, je préfère le monitor
 
Enfin tout ça c'est une question de goût, et ce dont je suis sûr c'est que l'interface de configuration du firewall est vraiment beaucoup plus intuitive chez Netasq, y a vraiment pas photo.
 
Sur l'arkoon, on retrouve à différents endroits la même option... ça parait assez louche, on en parlait avec pims (au sujet de la limitation de la taille des mails) et on n'a pas dû tout comprendre....?!?
 
 
En résumé :
 
Arkoon (A2000) => plus performant, plus d'options, plus difficile à configurer, logique étrange...et plus cher que le Netasq !
 
Netasq (F1000) => un peu moins performant, un peu moins d'option, facile à configurer, assez intuitif, moins cher que l'arkoon
 
 
Si il y a d'autres avis constructifs je suis preneur !

 
La première fois que j'ai vu l'interface, je me suis senti aussi perdu que toi sur l'Arkoon.
Cela date de fin 2004, je peut te dire que le FW était en version 6.0.2 ( maintenant il tourne en 6.0.7).
Donc mon experience n'est pas très vielle.
 
Pour moi, un A2000 et un F1000 en terme de prix, ce n'est pas la même gamme de produit. Le A2000 supporte beaucoup plus de connexions.
 
 
- A2000
Performance
Débit Firewall (Mbps) 425
Débit VPN 3DES (Mbps) 200
Débit VPN AES (Mbps) 200
Connexions simultanées 980 000
Nouvelles connexions par seconde 23 000
Tunnels simultanés 10 000
 
 
-F1000
Performances
Performances Firewall : 400 Mbits/s
Performances VPN : 100 Mbits/s
Connexions simultanées : 128 000
Politique de filtrage : 16 000
Interface 100 base-T (cuivre) : 4
 
 
En ce qui concerne la prise en main, tout dépend de ton experience sur les FW. Et cette experience t'oriente plus vers un produit que vers un autre.
J'ai travaillé sur plusieurs marques de FW (cisco, Watchguard, Arkoon et Netasq). Mon avis concerne plus la partie installation, que la partie administration. La partie log est la plus importante pour moi, car c'est celle qui me permet de moins galérer sur des install complexes. (authentification à la noix)
 
Donc si je pouvais les classer ce serait :  
Arkoon > Watchguard > Netasq > cisco.
 
PS : Suis je orienté ? telle est la question

Et sonicwall ? Moi j'ai un TZ170 Enhenced

C'est du SOHO.
Le truc qui me déplait, c'est l'interface WEB pour administrer le produit.
C'est moins secure qu'une interface dédié pour le produit.
Il suffit de tapper le mot de passe pour se connecter au FW.