Ipcop pour stopper le p2p et installer des vlan ?

Ipcop pour stopper le p2p et installer des vlan ? - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 21-01-2007 à 17:13:12    

Bonjour,

 

J'ai décidé d'installer un petit firewall ipcop dans mon réseau. Voici comment il se présente:

 

Modem/Routeur oléane --> switch --> ordis

 

J'ai décidé de mettre un firewall ipcop pour limiter l'utilisation de p2p dans le réseau. Donc pour cela j'ai installé Ipp2p, layer7 et urlfilter et j'ai activé le proxy transparent. Apparemment, j'ai dû mal installer ipp2p et layer7 car les applications p2p ne sont pas limitées. Une autre utilité du firewall serait de séparer le réseau en deux parties, une sur GREEN et l'autre sur BLUE. Le but de cette manoeuvre serait que les ordis sur BLUE ne voient pas ceux sur GREEN (l'inverse m'est égal). Le but final est, lorsque le tout sera fonctionnel, de demander à oléane de désactiver la fonction routeur du modem (je dis ça pour que personne me demande pourquoi j'ai deux routeurs dans mon réseau   :hello:  )

 

Alors voici mes questions:

  • Quelqu'un a-t'il déjà utilisé les addons ipp2p et layer7 pour bloquer le p2p? Si oui, est-ce qu'elles sont efficaces ?


  • Est-ce que vous connaissez d'autre manières pour bloquer le p2p avec ipcop ?
  • Est-ce efficace de bloquer les adresses des principaux serveurs d'emule avec urlfilter ? si oui, est-ce que quelqu'un connais une bonne blacklist accessible sur le net ?
  • Est-ce que la configuration BLUE/GREEN est viable pour séparer le réseau sachant que l'interface BLUE est normalement conçue pour des terminaux sans fil ?
  • Est-ce qu'on peut établir des QoS sur un vlan (BLUE ou GREEN) au complet ? Je m'explique: est-ce que je peux dire que les ordis sur le réseau GREEN on priorité sur les ordis du réseau BLUE ?
 


Merci beaucoup,
Oliparcol


Message édité par oliparcol le 21-01-2007 à 17:55:56
Reply

Marsh Posté le 21-01-2007 à 17:13:12   

Reply

Marsh Posté le 21-01-2007 à 20:32:55    

IPCOP est basé sur Linux, et ya moyen avec le modules BOND pour crérer les interfaces agrégées mais aussi les interfaces vlan ... donc oui, ya moyen mais n'ayant pas utiliser ipcop depuis sa version 1.1 je crois, je ne peux t'aider.

Reply

Marsh Posté le 21-01-2007 à 22:53:27    

Pour ce qui est de bloquer le peer to peer l'addon p2pblock fonctionne plutot bien pour ça !
Bloquer toutes les adresses des serveurs emule oui pourquoi pas mais bon tu vas te faire ch***.
Avec l'addon que je cite la connection met une plombe à s'ouvrir (en lowid biensur) et ne compte pas pouvoir telecharger ou leves toi de bonne heure :D
 
Je l'utilise chez moi.

Reply

Marsh Posté le 22-01-2007 à 00:20:00    

"Bleu" a plutot été pensée pour les connexions Wifi.
 
A mon avis tu devrais etusier le cas d'une config Red + Orange + Green.
 
Dans ton cas :
 
"Orange" (DMZ...) peut sortir sur le net via "Red" mais ne peut voir "Green".
 
"Green" peut sortir sur le net via "Red" et voit "Orange" (donc peut exploiter les ressources de Orange" ).
 
Et dans tout les cas, avec les regles par défaut, depuis "Red" (interface dédié au net) on ne peut acceder ni à Orange ni à Green.
 
 
ipp2p + layer 7 est très efficace mais encore faut-il savoir configurer l'ensemble correctement. C'est généralement là le soucis. :(  
 
 
Qt à p2pblock, il utilise le "mode string" de iptables et il fonctionne de manière correcte. (ma préférence va qd meme à ipp2p + layer7).
 
 
 

Reply

Marsh Posté le 22-01-2007 à 21:46:42    

ok merci pour les conseils. Est-ce que quelqu'un a une idée pour les QoS ? Je crois que je pourrais éventuellement m'en sortir en rêglant des plages d'ip différentes pour Green (192.168.2.x) et Orange (192.168.3.x) et rêgler des QoS sur les différentes plages d'ip, mais je ne suis pas trop sûr du résultat...

Reply

Marsh Posté le 22-01-2007 à 23:35:13    

Perso j'utilise ipp2p sur debian et ça marche pas mal

Reply

Marsh Posté le 23-01-2007 à 21:00:34    

Dernière question: est-ce qu'il y a un moyen facile de séparer équitablement la bande passante? Par exemple, s'il y a quatre personnes sur le réseau, chacun a ¼ de la bande passante (si il y a 100 personnes, chacun à un centième de la bande passante etc).

Reply

Marsh Posté le 23-01-2007 à 23:16:15    

il est possible de faire de la QOS par IP. Mais le plus judicieux reste une gestion de la bande passante par protocole (HTTP, FTP, SMTP, POP, etc...)
 
Si tu as 100 pers. et qu'à un instant t 5 personnes telechargent un bon gros mail avec une présentation ppt en pièce jointe, ne vaut-il pas mieux qu'ils la téléchargent rapidement afin qu'ils libèrent la bande passante le plus rapidement possible ou vaut-il mieux qu'ils poireautent pdt des dizaines de minutes à ce dire "put.... le réseau info de la boite chie encore...., meme chez moi en adsl c'est plus rapide.....".
 
c'est à toi de voir....
 
Personnellement je choisis la 1iere solution.  

Reply

Marsh Posté le 24-01-2007 à 20:44:25    

oui effectivement, mais le problème c'est que même si je met ipp2p, les gens peuvent tjrs télécharger en cryptant les connexions avec emule... si je limite en séparant équitablement, ça rêgle plus ou moins le problème

Reply

Marsh Posté le 24-01-2007 à 20:53:21    

pour etre sur que mes gosses ne telechargent pas,j'ai mis en place le STTTPUR (si tu télécharges tu prends une rouste)
ça bouffe peu de resource et c'est vraiment efficace.

 

Reply

Marsh Posté le 24-01-2007 à 20:53:21   

Reply

Marsh Posté le 24-01-2007 à 21:33:20    

ha ouai ... pas mal... mais en fait moi comme je suis dans un foyer étudiant faudrait plutot appliquer le STTTPDBPUS (si tu télécharge ta plus de bière pendant une semaine)

Reply

Marsh Posté le 24-01-2007 à 21:54:18    

tu installes ipp2p et tu fais de la QOS :

 

Aux les flux que tu souhaites, tu donnes une certaines priorité et tu fais un filtre par défaut à laquelle tu affectes 1% de ta bande passante.

 

Ainsi les flux p2p bien identifiés ne passeront pas (merci ipp2p) , les flux autorisés passeront sans soucis (tu peux meme gerer les priorités au sein de ces flux) et les flux "inconnus" ou indésirables (car cryptés par exemple) utiliseront alors la regles par default qui leur allouera une bande passante ridicule.
=> 90% du p2p ne passera plus et les derniers 10% auront tellement peu de bande passante que cela deviendra très dissuasif pour les utilisateurs (télécharger 1 divx à 1K0/s, cela refroidit rapidement les users indélicats).


Message édité par vrobaina le 24-01-2007 à 21:55:19

---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 25-01-2007 à 11:14:49    

ok merci beaucoup pour le tuyau !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed