Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2061 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Ajouter une passerelle IPCOP de la façon la plus transparante possible

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Ajouter une passerelle IPCOP de la façon la plus transparante possible

n°61556
tuxbleu
renie ses origines
Posté le 22-12-2009 à 18:23:09  profilanswer
 

Bonjour,
 
J'aimerai essayer de placer une passerelle ipcop sur mon site entre mon routeur FAI et le reste de mon réseau, histoire de mettre un peu d'ordre, c'est un peu l'anarchie ( emule, navigation "oléolé", etc... )
Comment vous vous y prendriez pour que l'intégration de la dite passerelle soit la plus transparente possible ?
 
Architecture sommaire du réseau :  
- AD 2K3  
- VPN opérateur entre les sites
- attribution des ip/passerelles... en DHCP via serveur de l'AD
 
Commençons disons par ce qui me semble le plus problématique : la passerelle
De votre expérience, le plus simple/rapide/retomber sur ses pattes en cas de pb, c'est de changer la passerelle dans l'AD pour y mettre l'IP de la patte verte de l'ipcop et laisser l'IP sur le routeur du FAI comme elle était, ou de changer l'IP de du routeur du FAI (monnayant que je la lui fasse changer son IP), que j'attribue l'IP de l'ancienne passerelle à ma pate verte ?
 
commençons déjà par ça, plus une question plus générale : voyez vous des contraintes insurmontables/tres contraignantes ?


---------------
Mon topic de vente - Mon feed-back
mood
Publicité
Posté le 22-12-2009 à 18:23:09  profilanswer
 

n°61557
lecharcuti​erdelinux
Posté le 22-12-2009 à 19:06:33  profilanswer
 

suffit que tu mettes un proxy, pas obligé de tout refaire l'archi. EN revanche faudra passer sur les pc pour configure IE ou le faire par GPO.

n°61559
Neo_t3
Posté le 22-12-2009 à 19:09:00  profilanswer
 

Pour moi ce serai :
 
RED -> Ton IP Publique de ton FAI
GREEN --> Une IP privée, incluse dans le sous réseau actuel
 
Ensuite sur IPCop les modules Squid & Squidguard bien que ces paquets n'ont pas leur place sur un FW selon moi.
 
Squid couplé à ton AD pour l'authentification des clients du LAN
Squidguard avec les blacklists actives pour bloquer les sites "non professionnels".
 
Pour ce qui est des VPN, IPCop fait de l'IPSec donc si c'est ton cas ça peut être jouable.
 
Schéma de l'archi :
 
LAN --> Green - IPCop - Red --> Routeur FAI --> WAN
 
 
Le mieux étant de mettre IPCop en configuration GREEN + ORANGE + RED, (à savoir, ajouter une DMZ à l'archi ci-dessus)
 
Et placer dans la DMZ, un serveur Squid & Squidguard.
 

lecharcutierdelinux a écrit :

suffit que tu mettes un proxy, pas obligé de tout refaire l'archi. EN revanche faudra passer sur les pc pour configure IE ou le faire par GPO.


 
Cela pourrait être une solution mais si il ne dispose pas de firewall, et si les postes sont plutot permissif, un utilisateur peut tout à fait désactiver la configuration du proxy pour surfer en direct et passer outre ceci.
Mais ce n'est qu'une suposition  :D

Message cité 1 fois
Message édité par Neo_t3 le 22-12-2009 à 19:10:58

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
n°61563
lecharcuti​erdelinux
Posté le 22-12-2009 à 19:23:10  profilanswer
 

Certes mais il faut si y'a un proxy bloqué la sortie direct par la passerelle ! Elle est pas obligé de NATER tous les postes.

n°61571
tuxbleu
renie ses origines
Posté le 22-12-2009 à 19:57:29  profilanswer
 

lecharcutierdelinux a écrit :

suffit que tu mettes un proxy, pas obligé de tout refaire l'archi. EN revanche faudra passer sur les pc pour configure IE ou le faire par GPO.


heu, mais du coup tu bloques comment ton accès au net ? pasque si le type vire ses paramètres proxy, il fera de nouveau ce qu'il veut le type non ?
Edit : ah bah oué, comme dis Néo_t3


Message édité par tuxbleu le 22-12-2009 à 19:58:56

---------------
Mon topic de vente - Mon feed-back
n°61572
tuxbleu
renie ses origines
Posté le 22-12-2009 à 20:05:41  profilanswer
 

Neo_t3 a écrit :

Pour moi ce serai :
 
RED -> Ton IP Publique de ton FAI
GREEN --> Une IP privée, incluse dans le sous réseau actuel
 
Ensuite sur IPCop les modules Squid & Squidguard bien que ces paquets n'ont pas leur place sur un FW selon moi.
 
Squid couplé à ton AD pour l'authentification des clients du LAN
Squidguard avec les blacklists actives pour bloquer les sites "non professionnels".
 
Pour ce qui est des VPN, IPCop fait de l'IPSec donc si c'est ton cas ça peut être jouable.
 
Schéma de l'archi :
 
LAN --> Green - IPCop - Red --> Routeur FAI --> WAN
 
 
Le mieux étant de mettre IPCop en configuration GREEN + ORANGE + RED, (à savoir, ajouter une DMZ à l'archi ci-dessus)
 
Et placer dans la DMZ, un serveur Squid & Squidguard.
 


 

Neo_t3 a écrit :


 
Cela pourrait être une solution mais si il ne dispose pas de firewall, et si les postes sont plutot permissif, un utilisateur peut tout à fait désactiver la configuration du proxy pour surfer en direct et passer outre ceci.
Mais ce n'est qu'une suposition  :D


 
ALors question très con, mais je la récupère comment mon IP publique opérateur ? En aval du routeur FAI, j'ai qu'une IP privée. Accessoirement, j'ai la meme IP publique sur tous mes sites.
Tu parles ensuite du VPN, il est déjà monté par l'opérateur en gros sur chaque site j'ai une passerelle 10.170.X.254
 
SInon oué, une orange je l'avais en stock celle là :jap:


---------------
Mon topic de vente - Mon feed-back
n°61574
Neo_t3
Posté le 22-12-2009 à 20:35:03  profilanswer
 

tuxbleu a écrit :


 
ALors question très con, mais je la récupère comment mon IP publique opérateur ? En aval du routeur FAI, j'ai qu'une IP privée. Accessoirement, j'ai la meme IP publique sur tous mes sites.
Tu parles ensuite du VPN, il est déjà monté par l'opérateur en gros sur chaque site j'ai une passerelle 10.170.X.254
 
SInon oué, une orange je l'avais en stock celle là :jap:


 
 
Dans le cas où tu ne peux/veux pas toucher à l'adressage du routeur de ton FAI, je ferai :
 
- Choisir un adressage différent entre le LAN coté Green IPCOP et le LAN coté routeur FAI.
 
ex: 192.168.20.0/24 pour ton LAN IPCop et 192.168.0.0/24 pour le LAN coté routeur FAI (et donc la patte RED IPCop).
 
- Mettre IPCop au centre avec comme GW par defaut pour RED, l'@IP du routeur.
 
Pour ce qui est des VPN, ok donc ils ne sont pas monté par un équipement autre que ton routeur/passerelle si je comprend bien ?


Message édité par Neo_t3 le 22-12-2009 à 20:38:00

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
n°61596
tuxbleu
renie ses origines
Posté le 23-12-2009 à 08:06:21  profilanswer
 

oui voilà, et encore même pas sur que ca se passe pas encore plus en amont que les routeurs. On a nos lignes chez le même FAI, ce n'est peut-être qu'un routage chez lui, j'ai pas les détails du montage du VPN par l'opérateur.
C'est obligatoire les LAN différents pour RED et GREEN ?


---------------
Mon topic de vente - Mon feed-back
n°61605
Neo_t3
Posté le 23-12-2009 à 11:35:48  profilanswer
 

tuxbleu a écrit :

oui voilà, et encore même pas sur que ca se passe pas encore plus en amont que les routeurs. On a nos lignes chez le même FAI, ce n'est peut-être qu'un routage chez lui, j'ai pas les détails du montage du VPN par l'opérateur.
C'est obligatoire les LAN différents pour RED et GREEN ?


 
Ok, par contre oui c'est plutôt impératif de modifier l'adressage et surtout qu'il soit différent entre Green et Red.


---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
n°61608
yachoo
Posté le 23-12-2009 à 12:30:01  profilanswer
 

tuxbleu a écrit :

C'est obligatoire les LAN différents pour RED et GREEN ?


 
C'est le principe du firewall. Tous les flux passent par lui. Si tu mets le même adressage des 2 côtés de ton firewall, jamais tes paquets iront sur la gateway IPCop.
En reprenant l'exemple de Neo_t3, avec un adressage différents, les machines du réseau 192.168.20.0/24 voudront parler au réseau 192.168.0.0/24 (ou autre) et seront obligés de taper sur leur gateway par défaut (la patte IPCop) pour joindre ces réseaux.  
Donc tous les flux transiteront par IPCop, donc tu pourras tout contrôler.
 
Si tout est sur le même adressage, tu passeras simplement par le réseau, donc pas de filtrage.
 


---------------
Yachoo,
mood
Publicité
Posté le 23-12-2009 à 12:30:01  profilanswer
 

n°61626
tuxbleu
renie ses origines
Posté le 23-12-2009 à 17:29:24  profilanswer
 

yachoo a écrit :


 
C'est le principe du firewall. Tous les flux passent par lui. Si tu mets le même adressage des 2 côtés de ton firewall, jamais tes paquets iront sur la gateway IPCop.
En reprenant l'exemple de Neo_t3, avec un adressage différents, les machines du réseau 192.168.20.0/24 voudront parler au réseau 192.168.0.0/24 (ou autre) et seront obligés de taper sur leur gateway par défaut (la patte IPCop) pour joindre ces réseaux.  
Donc tous les flux transiteront par IPCop, donc tu pourras tout contrôler.
 
Si tout est sur le même adressage, tu passeras simplement par le réseau, donc pas de filtrage.
 


Dans l'idée c'est OK, sauf pour la justification : si tu mets ton ipcop entre tes switch et ton routeur, le flux passera forcement par IPcop pour tout ce qui voudra entrer ou sortir de mon lan, yaura qu'un chemin physique possible, la machine IPcop.[:airforceone]
Sinon ok, si c'est un prérequis, ca ne se discute pas  [:airforceone]


---------------
Mon topic de vente - Mon feed-back
n°61627
tuxbleu
renie ses origines
Posté le 23-12-2009 à 17:29:58  profilanswer
 

Neo_t3 a écrit :


 
Ok, par contre oui c'est plutôt impératif de modifier l'adressage et surtout qu'il soit différent entre Green et Red.


ok  :jap:


---------------
Mon topic de vente - Mon feed-back
n°61630
Neo_t3
Posté le 23-12-2009 à 18:17:22  profilanswer
 

tuxbleu a écrit :


Dans l'idée c'est OK, sauf pour la justification : si tu mets ton ipcop entre tes switch et ton routeur, le flux passera forcement par IPcop pour tout ce qui voudra entrer ou sortir de mon lan, yaura qu'un chemin physique possible, la machine IPcop.[:airforceone]
Sinon ok, si c'est un prérequis, ca ne se discute pas  [:airforceone]


 
Je dirai oui et non, puisque si tu as le meme adressage des deux cotés ?  
Admettons que tes 2 LAN soient en 192.168.0.0/24, une machine (sur le LAN du Green IPCop) en .21, veut aller sur le net, OK elle envoi sa requête à IPCop (qui est alors la gateway de la machine). Jusque là nickel.
 
Sauf que sur IPCop, il va vouloir transferer cette requête vers le WAN, et ton le routeur de ton FAI en 192.168.0.254, sauf que pour lui, il a deux cartes vers les sous réseaux 192.168.0.0/24, vers qui l'envoyer ?  
 
Il se peut que cela fonctionne si il choisit de l'envoyer sur la patte Red, mais je m'y risquerai pas.
Autant changer l'adressage tout de suite ;)
 


---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
n°61634
ducon3d
Posté le 23-12-2009 à 19:10:39  profilanswer
 

tu peux tout a fait mettre un firewall sans faire de nat, en fait tu peux faire un firewall transparent (qui n'as meme pas d'ip)
 
un firewall transparent se comporte comme un switch basique avec 2 port, sauf qu'il bloque les paquets que tu veux degager.
tu peux aussi faire du proxy transparent.
 
dans ton cas je mettrais une vrai passerelle, avec aui bloque tout par default.
et un proxy, la passerelle redirige les requetes du port 80 sur le proxy, qui les filtres, et les renvoie a la passerelle.
 
voila

n°61635
tuxbleu
renie ses origines
Posté le 23-12-2009 à 19:45:14  profilanswer
 

ducon3d a écrit :

tu peux tout a fait mettre un firewall sans faire de nat, en fait tu peux faire un firewall transparent (qui n'as meme pas d'ip)
 
un firewall transparent se comporte comme un switch basique avec 2 port, sauf qu'il bloque les paquets que tu veux degager.
tu peux aussi faire du proxy transparent.
 
dans ton cas je mettrais une vrai passerelle, avec aui bloque tout par default.
et un proxy, la passerelle redirige les requetes du port 80 sur le proxy, qui les filtres, et les renvoie a la passerelle.
 
voila


 
1) un exemple de matériel/solutions à installer ?
2) genre ipcop ? ou truc genre firewall cisco ?


Message édité par tuxbleu le 23-12-2009 à 19:46:51

---------------
Mon topic de vente - Mon feed-back
n°61636
ducon3d
Posté le 23-12-2009 à 20:03:25  profilanswer
 

chez cisco pour le "stealth fw" pas teste par contre

 

avec du linux classique, bonding + iptables google foisonne d'exemple

 

ceci dit dans ton cas je te conseil un routeur/firewall normal avec une fonction de proxy, ipcop le permet me semble-t-il.

 

ipcop est bien pour commencer a jouer avec les firewall le routage et autres bidulage reseau, sans se cogner les commandes cisco ou iptables (linux) ou ipfilter (BSD).

 

edit: tout droit sorti de la doc ipcop

 

Core services ¶

 

   * DHCP client / server
    * Dynamic DNS
    * Host list settable from web interface
    * HTTP / FTP proxy (squid)
    * IDS (snort) on all interfaces
    * Log local or remote
    * NTP client / server
    * SSH server (PSK or password)
    * Traffic shaping (red interface)

 

Firewall features ¶

 

   * statefull firewall
    * nat helper for h323, irc, mms, pptp, proto-gre, !quake3
    * programmable port forwarding to ORANGE address
    * pin-hole on GREEN or BLUE net
    * ping answer configurable on all interfaces

 

IPsec VPN ¶

 

   * roadwarrior and net to net
    * certificate or PSK

 


tu as de quoi t'amuser, squid etant le proxy

 

re-edit sur un plateau: la doc d'ipcop page dees proxy

Message cité 1 fois
Message édité par ducon3d le 23-12-2009 à 20:09:42
n°61637
tuxbleu
renie ses origines
Posté le 23-12-2009 à 20:31:17  profilanswer
 

ducon3d a écrit :

chez cisco pour le "stealth fw" pas teste par contre
 
avec du linux classique, bonding + iptables google foisonne d'exemple
 
ceci dit dans ton cas je te conseil un routeur/firewall normal avec une fonction de proxy, ipcop le permet me semble-t-il.
 
ipcop est bien pour commencer a jouer avec les firewall le routage et autres bidulage reseau, sans se cogner les commandes cisco ou iptables (linux) ou ipfilter (BSD).
 
edit: tout droit sorti de la doc ipcop
 
Core services ¶
 
    * DHCP client / server
    * Dynamic DNS
    * Host list settable from web interface
    * HTTP / FTP proxy (squid)
    * IDS (snort) on all interfaces
    * Log local or remote
    * NTP client / server
    * SSH server (PSK or password)
    * Traffic shaping (red interface)  
 
Firewall features ¶
 
    * statefull firewall
    * nat helper for h323, irc, mms, pptp, proto-gre, !quake3
    * programmable port forwarding to ORANGE address
    * pin-hole on GREEN or BLUE net
    * ping answer configurable on all interfaces  
 
IPsec VPN ¶
 
    * roadwarrior and net to net
    * certificate or PSK  
 
 
tu as de quoi t'amuser, squid etant le proxy
 
re-edit sur un plateau: la doc d'ipcop page dees proxy


 :jap:


---------------
Mon topic de vente - Mon feed-back
n°61638
ShonGail
En phase de calmitude ...
Posté le 23-12-2009 à 20:31:23  profilanswer
 

Quitte à se diriger vers un distrib spécialisée dans le routage/firewall/proxy, laisse IPCOP de coté pour Smoothwall. Les projets sont similaires (mêmes bases) mais Smoothwall est plus à jour (noyau 2.6), propose d'origine plus de choses (graph du trafic, QOS, etc.) et il y a plus de dev niveau Addons.

Message cité 1 fois
Message édité par ShonGail le 23-12-2009 à 20:32:32
n°61639
tuxbleu
renie ses origines
Posté le 23-12-2009 à 20:38:34  profilanswer
 

ShonGail a écrit :

Quitte à se diriger vers un distrib spécialisée dans le routage/firewall/proxy, laisse IPCOP de coté pour Smoothwall. Les projets sont similaires (mêmes bases) mais Smoothwall est plus à jour (noyau 2.6), propose d'origine plus de choses (graph du trafic, QOS, etc.) et il y a plus de dev niveau Addons.


ah oué  :??: c'est le même esprit sinon ?


---------------
Mon topic de vente - Mon feed-back
n°61765
blouskaill​e
Formateur de disque dur
Posté le 30-12-2009 à 16:29:37  profilanswer
 

Je n'ai jamais tester Smoothwall :??:
 
Quand tu dis grpah du trafic, quand tu prend la main à distance tu vois les graphs?
 
Sinon il y a pfSence et mOnOwall  


---------------
|--Topic [ACH] [VDS]--|La vie est un phoenix qui renaît de ses larmes.
n°61768
ShonGail
En phase de calmitude ...
Posté le 30-12-2009 à 16:50:39  profilanswer
 

tuxbleu a écrit :


ah oué  :??: c'est le même esprit sinon ?


 
 
Oui.
 
Ipcop est un dérivé de Smoothwall.
Ipcop était devenu intéressant. Je l'utilisais. Mais son dev stagne maintenant et la version 1.5 ne sort pas :(
 
Si tu veux le support du SATA, direction Smoothwall déjà. Sous Ipcop, le noyau 2.4 est trop vieux.
Ensuite les Addons sont plus récents, tjs en dev et nombreux.

n°61770
ShonGail
En phase de calmitude ...
Posté le 30-12-2009 à 16:51:28  profilanswer
 

blouskaille a écrit :

Je n'ai jamais tester Smoothwall :??:
 
Quand tu dis grpah du trafic, quand tu prend la main à distance tu vois les graphs?
 
Sinon il y a pfSence et mOnOwall  


 
oui.
Par l'interface WEB, tu as des résumés et des graphs temps réel du trafic par IP et par protocole si QOS activé.

n°61771
blouskaill​e
Formateur de disque dur
Posté le 30-12-2009 à 16:52:47  profilanswer
 

Merci pour les infos :jap:


---------------
|--Topic [ACH] [VDS]--|La vie est un phoenix qui renaît de ses larmes.
n°61819
tuxbleu
renie ses origines
Posté le 31-12-2009 à 19:34:17  profilanswer
 

ShonGail a écrit :


 
 
Oui.
 
Ipcop est un dérivé de Smoothwall.
Ipcop était devenu intéressant. Je l'utilisais. Mais son dev stagne maintenant et la version 1.5 ne sort pas :(
 
Si tu veux le support du SATA, direction Smoothwall déjà. Sous Ipcop, le noyau 2.4 est trop vieux.
Ensuite les Addons sont plus récents, tjs en dev et nombreux.


 :jap:  
merci pour les infos  :love:


---------------
Mon topic de vente - Mon feed-back
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Ajouter une passerelle IPCOP de la façon la plus transparante possible

 

Sujets relatifs
Passerelle SMS open source et non couteux ?ARCSERV - Pas de resto possible après fusion
Ajouter disque sur RAID 5Passerelle de Routage de SMS vers Mail
Problème config réseau internet via une passerelle !help!SMTP LocalHost Relai, Redirection, Passerelle
Réplication DFS encore possible sur windows 2003 SP2 ?connection directe possible ?
[Messagerie unifiée] Lecture privée possible sur Exchange 2003Debutant : Ajouter une route statique, c'est quoi ?
Plus de sujets relatifs à : Ajouter une passerelle IPCOP de la façon la plus transparante possible


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR