Ajouter une passerelle IPCOP de la façon la plus transparante possible - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 22-12-2009 à 19:06:33
suffit que tu mettes un proxy, pas obligé de tout refaire l'archi. EN revanche faudra passer sur les pc pour configure IE ou le faire par GPO.
Marsh Posté le 22-12-2009 à 19:09:00
Pour moi ce serai :
RED -> Ton IP Publique de ton FAI
GREEN --> Une IP privée, incluse dans le sous réseau actuel
Ensuite sur IPCop les modules Squid & Squidguard bien que ces paquets n'ont pas leur place sur un FW selon moi.
Squid couplé à ton AD pour l'authentification des clients du LAN
Squidguard avec les blacklists actives pour bloquer les sites "non professionnels".
Pour ce qui est des VPN, IPCop fait de l'IPSec donc si c'est ton cas ça peut être jouable.
Schéma de l'archi :
LAN --> Green - IPCop - Red --> Routeur FAI --> WAN
Le mieux étant de mettre IPCop en configuration GREEN + ORANGE + RED, (à savoir, ajouter une DMZ à l'archi ci-dessus)
Et placer dans la DMZ, un serveur Squid & Squidguard.
lecharcutierdelinux a écrit : suffit que tu mettes un proxy, pas obligé de tout refaire l'archi. EN revanche faudra passer sur les pc pour configure IE ou le faire par GPO. |
Cela pourrait être une solution mais si il ne dispose pas de firewall, et si les postes sont plutot permissif, un utilisateur peut tout à fait désactiver la configuration du proxy pour surfer en direct et passer outre ceci.
Mais ce n'est qu'une suposition
Marsh Posté le 22-12-2009 à 19:23:10
Certes mais il faut si y'a un proxy bloqué la sortie direct par la passerelle ! Elle est pas obligé de NATER tous les postes.
Marsh Posté le 22-12-2009 à 19:57:29
lecharcutierdelinux a écrit : suffit que tu mettes un proxy, pas obligé de tout refaire l'archi. EN revanche faudra passer sur les pc pour configure IE ou le faire par GPO. |
heu, mais du coup tu bloques comment ton accès au net ? pasque si le type vire ses paramètres proxy, il fera de nouveau ce qu'il veut le type non ?
Edit : ah bah oué, comme dis Néo_t3
Marsh Posté le 22-12-2009 à 20:05:41
Neo_t3 a écrit : Pour moi ce serai : |
Neo_t3 a écrit : |
ALors question très con, mais je la récupère comment mon IP publique opérateur ? En aval du routeur FAI, j'ai qu'une IP privée. Accessoirement, j'ai la meme IP publique sur tous mes sites.
Tu parles ensuite du VPN, il est déjà monté par l'opérateur en gros sur chaque site j'ai une passerelle 10.170.X.254
SInon oué, une orange je l'avais en stock celle là
Marsh Posté le 22-12-2009 à 20:35:03
tuxbleu a écrit : |
Dans le cas où tu ne peux/veux pas toucher à l'adressage du routeur de ton FAI, je ferai :
- Choisir un adressage différent entre le LAN coté Green IPCOP et le LAN coté routeur FAI.
ex: 192.168.20.0/24 pour ton LAN IPCop et 192.168.0.0/24 pour le LAN coté routeur FAI (et donc la patte RED IPCop).
- Mettre IPCop au centre avec comme GW par defaut pour RED, l'@IP du routeur.
Pour ce qui est des VPN, ok donc ils ne sont pas monté par un équipement autre que ton routeur/passerelle si je comprend bien ?
Marsh Posté le 23-12-2009 à 08:06:21
oui voilà, et encore même pas sur que ca se passe pas encore plus en amont que les routeurs. On a nos lignes chez le même FAI, ce n'est peut-être qu'un routage chez lui, j'ai pas les détails du montage du VPN par l'opérateur.
C'est obligatoire les LAN différents pour RED et GREEN ?
Marsh Posté le 23-12-2009 à 11:35:48
tuxbleu a écrit : oui voilà, et encore même pas sur que ca se passe pas encore plus en amont que les routeurs. On a nos lignes chez le même FAI, ce n'est peut-être qu'un routage chez lui, j'ai pas les détails du montage du VPN par l'opérateur. |
Ok, par contre oui c'est plutôt impératif de modifier l'adressage et surtout qu'il soit différent entre Green et Red.
Marsh Posté le 23-12-2009 à 12:30:01
tuxbleu a écrit : C'est obligatoire les LAN différents pour RED et GREEN ? |
C'est le principe du firewall. Tous les flux passent par lui. Si tu mets le même adressage des 2 côtés de ton firewall, jamais tes paquets iront sur la gateway IPCop.
En reprenant l'exemple de Neo_t3, avec un adressage différents, les machines du réseau 192.168.20.0/24 voudront parler au réseau 192.168.0.0/24 (ou autre) et seront obligés de taper sur leur gateway par défaut (la patte IPCop) pour joindre ces réseaux.
Donc tous les flux transiteront par IPCop, donc tu pourras tout contrôler.
Si tout est sur le même adressage, tu passeras simplement par le réseau, donc pas de filtrage.
Marsh Posté le 23-12-2009 à 17:29:24
yachoo a écrit : |
Dans l'idée c'est OK, sauf pour la justification : si tu mets ton ipcop entre tes switch et ton routeur, le flux passera forcement par IPcop pour tout ce qui voudra entrer ou sortir de mon lan, yaura qu'un chemin physique possible, la machine IPcop.
Sinon ok, si c'est un prérequis, ca ne se discute pas
Marsh Posté le 23-12-2009 à 17:29:58
Neo_t3 a écrit : |
ok
Marsh Posté le 23-12-2009 à 18:17:22
tuxbleu a écrit : |
Je dirai oui et non, puisque si tu as le meme adressage des deux cotés ?
Admettons que tes 2 LAN soient en 192.168.0.0/24, une machine (sur le LAN du Green IPCop) en .21, veut aller sur le net, OK elle envoi sa requête à IPCop (qui est alors la gateway de la machine). Jusque là nickel.
Sauf que sur IPCop, il va vouloir transferer cette requête vers le WAN, et ton le routeur de ton FAI en 192.168.0.254, sauf que pour lui, il a deux cartes vers les sous réseaux 192.168.0.0/24, vers qui l'envoyer ?
Il se peut que cela fonctionne si il choisit de l'envoyer sur la patte Red, mais je m'y risquerai pas.
Autant changer l'adressage tout de suite
Marsh Posté le 23-12-2009 à 19:10:39
tu peux tout a fait mettre un firewall sans faire de nat, en fait tu peux faire un firewall transparent (qui n'as meme pas d'ip)
un firewall transparent se comporte comme un switch basique avec 2 port, sauf qu'il bloque les paquets que tu veux degager.
tu peux aussi faire du proxy transparent.
dans ton cas je mettrais une vrai passerelle, avec aui bloque tout par default.
et un proxy, la passerelle redirige les requetes du port 80 sur le proxy, qui les filtres, et les renvoie a la passerelle.
voila
Marsh Posté le 23-12-2009 à 19:45:14
ducon3d a écrit : tu peux tout a fait mettre un firewall sans faire de nat, en fait tu peux faire un firewall transparent (qui n'as meme pas d'ip) |
1) un exemple de matériel/solutions à installer ?
2) genre ipcop ? ou truc genre firewall cisco ?
Marsh Posté le 23-12-2009 à 20:03:25
chez cisco pour le "stealth fw" pas teste par contre
avec du linux classique, bonding + iptables google foisonne d'exemple
ceci dit dans ton cas je te conseil un routeur/firewall normal avec une fonction de proxy, ipcop le permet me semble-t-il.
ipcop est bien pour commencer a jouer avec les firewall le routage et autres bidulage reseau, sans se cogner les commandes cisco ou iptables (linux) ou ipfilter (BSD).
edit: tout droit sorti de la doc ipcop
Core services ¶
* DHCP client / server
* Dynamic DNS
* Host list settable from web interface
* HTTP / FTP proxy (squid)
* IDS (snort) on all interfaces
* Log local or remote
* NTP client / server
* SSH server (PSK or password)
* Traffic shaping (red interface)
Firewall features ¶
* statefull firewall
* nat helper for h323, irc, mms, pptp, proto-gre, !quake3
* programmable port forwarding to ORANGE address
* pin-hole on GREEN or BLUE net
* ping answer configurable on all interfaces
IPsec VPN ¶
* roadwarrior and net to net
* certificate or PSK
tu as de quoi t'amuser, squid etant le proxy
re-edit sur un plateau: la doc d'ipcop page dees proxy
Marsh Posté le 23-12-2009 à 20:31:17
ducon3d a écrit : chez cisco pour le "stealth fw" pas teste par contre |
Marsh Posté le 23-12-2009 à 20:31:23
Quitte à se diriger vers un distrib spécialisée dans le routage/firewall/proxy, laisse IPCOP de coté pour Smoothwall. Les projets sont similaires (mêmes bases) mais Smoothwall est plus à jour (noyau 2.6), propose d'origine plus de choses (graph du trafic, QOS, etc.) et il y a plus de dev niveau Addons.
Marsh Posté le 23-12-2009 à 20:38:34
ShonGail a écrit : Quitte à se diriger vers un distrib spécialisée dans le routage/firewall/proxy, laisse IPCOP de coté pour Smoothwall. Les projets sont similaires (mêmes bases) mais Smoothwall est plus à jour (noyau 2.6), propose d'origine plus de choses (graph du trafic, QOS, etc.) et il y a plus de dev niveau Addons. |
ah oué c'est le même esprit sinon ?
Marsh Posté le 30-12-2009 à 16:29:37
Je n'ai jamais tester Smoothwall
Quand tu dis grpah du trafic, quand tu prend la main à distance tu vois les graphs?
Sinon il y a pfSence et mOnOwall
Marsh Posté le 30-12-2009 à 16:50:39
tuxbleu a écrit : |
Oui.
Ipcop est un dérivé de Smoothwall.
Ipcop était devenu intéressant. Je l'utilisais. Mais son dev stagne maintenant et la version 1.5 ne sort pas
Si tu veux le support du SATA, direction Smoothwall déjà. Sous Ipcop, le noyau 2.4 est trop vieux.
Ensuite les Addons sont plus récents, tjs en dev et nombreux.
Marsh Posté le 30-12-2009 à 16:51:28
blouskaille a écrit : Je n'ai jamais tester Smoothwall |
oui.
Par l'interface WEB, tu as des résumés et des graphs temps réel du trafic par IP et par protocole si QOS activé.
Marsh Posté le 30-12-2009 à 16:52:47
Merci pour les infos
Marsh Posté le 31-12-2009 à 19:34:17
ShonGail a écrit : |
merci pour les infos
Marsh Posté le 22-12-2009 à 18:23:09
Bonjour,
J'aimerai essayer de placer une passerelle ipcop sur mon site entre mon routeur FAI et le reste de mon réseau, histoire de mettre un peu d'ordre, c'est un peu l'anarchie ( emule, navigation "oléolé", etc... )
Comment vous vous y prendriez pour que l'intégration de la dite passerelle soit la plus transparente possible ?
Architecture sommaire du réseau :
- AD 2K3
- VPN opérateur entre les sites
- attribution des ip/passerelles... en DHCP via serveur de l'AD
Commençons disons par ce qui me semble le plus problématique : la passerelle
De votre expérience, le plus simple/rapide/retomber sur ses pattes en cas de pb, c'est de changer la passerelle dans l'AD pour y mettre l'IP de la patte verte de l'ipcop et laisser l'IP sur le routeur du FAI comme elle était, ou de changer l'IP de du routeur du FAI (monnayant que je la lui fasse changer son IP), que j'attribue l'IP de l'ancienne passerelle à ma pate verte ?
commençons déjà par ça, plus une question plus générale : voyez vous des contraintes insurmontables/tres contraignantes ?
---------------
Mon topic de vente - Mon feed-back