Bridge (ou commant faire ...)

Hex@ctement · Le 01/04/2007, à 16:08

Bonjour à toute et à tous

Le titre de ce sujet est évocateur et j'ai beaucoup de question sur le sujet.

Ce que je veux faire :

Monter un bridge transparent
utiliser NTOP sur le bridge
utiliser IPCOP sur le bridge

Pour le bridge j'ai installer "bridge-util" (à titre d'information cela est possible directement depuis la console
"gestionnaire de paquets synaptic" je dis cela pour les newbis car faire l'installation depuis le site du prog c'est pas le top !)

Maintenant comment configurer ce bridge ?
Je dispose de 3 cartes réseaux identiques (Dlink 530tx)
la première est en DHCP (pour le moment en 192.168.1.10) mais elle sera en IP fix avec
192.168.84.90 -(mask) 255.255.255.0 -(Pass) 192.168.84.31 -(dns) 192.168.84.5 et 192.168.84.13.
les deux autre cartes sans IP.

Je veux garder la 1ère carte pour :
Administrer le serveur avec "webmin" (installer et en état de fonctionnement)
consulter le "NTOP" (installer et en état de fonctionnement sur la 1ère carte, mais ne vois pas les requêtes faites sur internet)
Administrer "IPCOP" (installation à faire...)
et enfin gérer "GPLI" (installation à faire...)
est-ce possible ?

Le bridge lui est là pour que "NTOP" et "IPCOP" puissent faire leur job sans que les utilisateurs du réseau puissent intervenir sur ces applications et les voir !

Avez-vous déjà réalisés une tel config, si oui pouvez-vous m'apporter votre aide ?

Merci pour l'aide
Cordialement votre

Eltche · Le 01/04/2007, à 16:54

Bonjour,
j'ai installé un IPCop récemment (plus quelques Addons). Rien à dire, ca fonctionne bien.
GLPI, mon collègue au boulot la installé (GLPI + OCS) et c'est très bien.
Concernant Ntop, je connaissais pas. Je viens de voir sur google que cela pemet de faire de la supervison de réseau. Mais je ne sais pas quel types d'informations il retourne.

Au boulot j'ai deux réseaux logiques IP un accès à internet. Je pensais mettre un IPCop et brancher les 2 reseaux logiques mais j'ai pas trouvé comment faire simple, car je trouvais que la gestion des droits dans IPCop devenait un peu compliqué. Du coup j'ai recyclé un autre PC pour installé un deuxième IPCop. Du coup j'ai un IPCop par réseau logique...

Quel est ton réseau? que comptes tu faire? Comment s'intégrerais ton bridge dans ton réseau?

Hex@ctement · Le 01/04/2007, à 17:08

mon réseau (hôpital public) est constitué de 150 postes et divers (impr switch etc)

il est en 192.168.84.x avec un masque de 255.255.255.0
le bridge devrait être entre :
un switch et le routeur ou
entre le routeur et la cnx internet
Le choix n'est pas encore retenu mais c'est l'une des deux solutions !

ce que nous voudrions faire c'est :
connaître le trafic fait sur internet (visualisation avec "NTOP")
restreindre les URLs qui pausant PB avec la déontologie de l'hôpital (site X, etc etc) avec "IPCOP"

c'est principalement sur la restriction de consultation et le filtrage des sites à PB que nous avons choisis cette solution.

Merci pour l'aide
Cordialement votre

Eltche · Le 01/04/2007, à 19:33

Hex@ctement a écrit :

mon réseau (hôpital public) est constitué de 150 postes et divers (impr switch etc)
il est en 192.168.84.x avec un masque de 255.255.255.0
le bridge devrait être entre :
un switch et le routeur ou
entre le routeur et la cnx internet
Le choix n'est pas encore retenu mais c'est l'une des deux solutions !
ce que nous voudrions faire c'est :
connaître le trafic fait sur internet (visualisation avec "NTOP")
restreindre les URLs qui pausant PB avec la déontologie de l'hôpital (site X, etc etc) avec "IPCOP"
c'est principalement sur la restriction de consultation et le filtrage des sites à PB que nous avons choisis cette solution.

Ok, donc si je comprends bien ton problème est le contrôle de l'accès à internet. IPCop te permet diverses configurations: un firwall et/ou un proxy de base. De plus, si tu utilise le proxy (Squid) tu pourras consulter les sites visités par chaque pc (je dis bien pc(=adr IP) et non pas utilisateur (=login) ) Mais IPCop permet tout de même une authentification des utilisateurs par différents procédé: LDAP, AD, Radius, base locale, Domaine

De plus avec des addons tu vas pouvoir:
- filtrer le contenu des sites visités (interdire les sites warez, porno, publicitaire, etc...): UrlFilter
- bloquer tout les flux de ton lan vers internet et n'autoriser que ceux que tu souhaite: Blockout
- obtenir des rapports des visites: Calamaris
- regarder l'utilisation de la bande passante par jour / semaine / mois: de base dans IPCop
- observer l'utilisation du CPU / DD / RAM par jour /semaine / mois: de base dans IPCOp
- ...

Je ne connais pas NTOP mais il me semble que IPCop réponde à tes attentes. Est-ce que NTOP vous retourne des infos particulières? Ensuite je ne voie pas trop le rôle de ton bridge dans l'histoire. A quoi va t-il servir?

Où placer IPCop? le plus simple: entre le lan et le routeur.

PS: Je ne sais pas ce qu'est une cnx, qu'est ce que c'est ?

Hex@ctement · Le 01/04/2007, à 20:04

cnx = connexion !
NTOP nous donne tout le trafic du réseau (utile pour savoir ou sont les goulots d'étranglement .
IPCOP ne sera utiliser dans le cas ou il y a trop de site "olé olé"

pourquoi un bridge ? simple pour ne pas que les utilisateurs viennent fouiner dans ce prg (et puis le syndic va crier BIG BROTHER est là !) plus sérieusement cela nous permettra de monter SNORT si nous constatons des PB plus grave.

Merci pour L'aide
Cordialement Votre

Eltche · Le 01/04/2007, à 23:19

Hex@ctement a écrit :

cnx = connexion !

Houla, je devais être fatigué;)

Hex@ctement a écrit :

NTOP nous donne tout le trafic du réseau (utile pour savoir ou sont les goulots d'étranglement .
IPCOP ne sera utiliser dans le cas ou il y a trop de site "olé olé"

Hex@ctement a écrit :

pourquoi un bridge ? simple pour ne pas que les utilisateurs viennent fouiner dans ce prg (et puis le syndic va crier BIG BROTHER est là !) plus sérieusement cela nous permettra de monter SNORT si nous constatons des PB plus grave.

Quand tu parles de "ce programme" tu parles de NTOP? c'est ça?
Dans tout les cas il est de bon usage d'informer toutes les parties (les utilisateurs, les syndicats) qu'il existe un système de filtrage et de convenir de l'utilisation des log. Dans les faits c'est souvent un peu différent...

Je pense que tu ne devrais pas trop avoir de souci pour le bridge.
Tient nous au courant.

Hex@ctement · Le 02/04/2007, à 09:56

Bonjour à toutes et à tous ...

Bien sur que les syndicats sont au courant pour l'installation de NTOP !
Et ce n'est pas pour leur faire plaisir ... atteinte à la vie privée etc etc.
Le PB c'est que lorsque un PC rentre à l'atelier car il est craché, et bien
comme d'hab c'est :
Spywares, Trojans, Virus, MSN (et autre), P2P (alors la liste est longue !)
des Hamashi (alors là c'est un gros PB)
Bref lorsque qu'une machine est ouverte (en générale ce sont les cadres qui ont
les droits pleins pot) et bien ce sont les 1er à HURLER car le réseau "RAME"
ou que leurs PC ne fonctionne plus !

Donc NTOP nous donne un reflet de l'utilisation d'internet, et là nous allons
pouvoir INTERDIRE les URL qui pause PB.

Bon sur ce, y a t'il une personne dans ce forum pour m'expliquer comment je configure
ce Bridge avec ces deux cartes réseau ? (c'est urgent faut que cela fonctionne ce soir ...
demain exam d'anglais à dijon !)

Merci pour l'aide
Cordialement Votre

Hex@ctement · Le 02/04/2007, à 16:40

Voici la config que j'ai réalisé pour monter mon bridge

1--> eth0 Carte de contrôle en 192.168.84.90 / 255.255.255.0 / 192.168.84.31
2--> eth1 bridge
2--> eth2 bridge

voici les commandes d'installation

Donc dans un premier temps, nous enlevons toute adresse IP des deux cartes réseaux qui constituent notre pont, et les passons en mode "promisc" pour qu'elles puissent écouter tout le réseau et donc transférer les trames réseaux d'un réseau à l'autre.
ATTENTION Si vous êtes en telnet ou ssh sur cette machine, la connexion va être coupée, faites donc ces manipulations en console sur la machine elle-même.

sudo ifconfig eth1 0.0.0.0 promisc
sudo ifconfig eth2 0.0.0.0 promisc

Maitenant nous mettons en place le pont lui-même, c'est-à-dire nous donnons un nom au bridge lui-même (the-bridge)

sudo brctl addbr the-bridge

et déclarons les interface réseaux qui vont servir au pont (eth1 et eth2):

sudo brctl addif the-bridge eth1
sudo brctl addif the-bridge eth2

Pour vérifier que tout marche, normalement toute machine du réseau1 doit pouvoir pinguer toutes les machines du réseau2 et inversement. Et si vous faites un "traceroute" d'une machine du réseau1 vers le réseau2 (ou inversement), vous ne verrez PAS le pont. Il se comporte là comme un simple "fil" reliant les deux réseaux.

Pour accéder à la machine j'utilise la carte eth0 !

Maintenant pour éviter de devoir retaper ces commandes je dois les mettre dans un fichier lue au démarrage de la machine.
ma question dans quel fichier ?

Merci pour l'aide
Cordialement votre

Eltche · Le 02/04/2007, à 23:21

Voici des liens trouvé sur Google:

http://www.shorewall.net/bridge_fr.html#bridge-router
http://www.ibiblio.org/pub/Linux/docs/HOWTO/translations/fr/ps/Ethernet-Bridge-netfilter-HOWTO.
ps
http://people.via.ecp.fr/~alexis/formation-linux/bridge.html#AEN11409

sur le premier lien il y a si j'ai bien lu, quelques scripts pour que ton interface br soit active au démarrage.
Autre subtilité qui est utilisé dans les 2 liens, une adresses IP est donnée à br. Cela permet d'une part d'administré le pont sans avoir une troisième interface et d'autre part de faire un pont filtrant (à cette heure j'ai pas compris toutes les subtilités) mais il y a netfilter, cad iptable dans le coin
Le 3eme lien semble indiquer qu'il faut mettre le réglage du pont dans /etc/network/interfaces.

Sinon je vais mettre ta description pour créer un pont en bookmark. J'en avais déjà fait un mais je n'aurais pas été capable de redire comment j'avais fait:P

Dernière modification par Eltche (Le 02/04/2007, à 23:51)

Hex@ctement · Le 03/04/2007, à 20:56

Bonjour/Soir "Eltche" et merci !

Désolé je n'ai pas répondu plus tôt j'étais à dijon passer un exam d'anglais ... le stressssssss ... mon bon cela c'est bien passé.

Je regarde tes liens et je te tiens au courant sur le bridge.
A propos de l'adresse ip sur le "BR" si je ne suis pas trop bête, on peu lui mettre dessus "NTOP, IPCOP etc etc" filtrage directe du pont ...
Je vais tester cela demain à l'hosto.

Merci pour l'aide
Cordialement Votre

Eltche · Le 04/04/2007, à 00:05

Moi meme j'étais en concours aujourd'hui (demain aussi d'ailleur) ...
IPCop est une distribution. Donc si tu installes un linux avec un bridge tu ne pourras pas installer un IPCop par dessus car tu vas écraser ton linux. Ensuite si tu fais un bridge avec les interfaces d'un d'IPCop, là je ne sais pas comment IPCop va s'y retrouver! car il à besoin d'au moins 2 interfaces IP.
Par contre j'imagine que NTOP peux s'installer sans problème sur une distrib linux.
A propos j'ai trouvé ça comme lien http://www.urec.cnrs.fr/metrologie/LOG_RES.pdf. C'est un topo sur les outils de supervision.
@+

Dernière modification par Eltche (Le 04/04/2007, à 00:07)

Hex@ctement · Le 11/04/2007, à 09:55

Bonjour à toutes et à tous ...
J'ai posté Le 02/04/2007, à 16:40 dans ce forum la description de déclaration d'un "Bridge".
j'ai utilisé comme référence cette page http://www.shorewall.net/bridge_fr.html pour
configurer mon pont.
Ma solution est d'utiliser 3 Cartes réseaux.
1 --> pour l'administration du serveur.
2 --> pour le bridge.

afin de ne pas retaper toutes les commandes pour monter le bridge, je voudrai utiliser ce
genre de fonction :

/etc/sysconfig/network-scripts/ifcfg-br0:
DEVICE=br0
TYPE=Bridge
IPADDR=192.168.50.14
NETMASK=255.255.255.0
ONBOOT=yes
/etc/sysconfig/network-scripts/ifcfg-eth0:
DEVICE=eth0
TYPE=ETHER
BRIDGE=br0
ONBOOT=yes
/etc/sysconfig/network-scripts/ifcfg-eth1:
DEVICE=eth1
TYPE=ETHER
BRIDGE=br0
ONBOOT=yes

Dans l'exemple il y a un fichier pour chaque interface.
Est-ce que je peux faire ce script ci-dessous, et l'inclure dans mon fichier
"interfaces" pour qu'il soit exécuté au démarrage du système ?
Est-ce la bonne méthode ?

DEVICE=br0
TYPE=Bridge
IPADDR=192.168.50.14
NETMASK=255.255.255.0
ONBOOT=yes
DEVICE=eth0
TYPE=ETHER
BRIDGE=br0
ONBOOT=yes
DEVICE=eth1
TYPE=ETHER
BRIDGE=br0
ONBOOT=yes

Merci pour votre aide
Cordialement Votre

pcamut · Le 11/04/2007, à 11:28

Salut,

je viens juste de tomber sur ca : http://smeserver.fr/
j'ai un vieux PC qui va se faire remplacer dans pas longtemp et je comptais l'installer chez moi,
mais ca devrais faire l'affaire aussi pour toi.

Auparavent ca s'appeleait e-smith, c'est une distribution concu express pour faire ce que tu veux, (et meme plus apparement )

Hex@ctement · Le 11/04/2007, à 13:18

Merci pour le lien.
J'ai déjà utilisé cette distribution, mais elle ne correspond pas à nos attentes ...

je recherche donc la réponse à ma question ! (voir le post plus haut)

Aidez-moi car je bloque sur un pb de débutant (sous linux !) que je suis !

Cordialement votre

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 01/04/2007, à 16:08

Bridge (ou commant faire ...)

#2 Le 01/04/2007, à 16:54

Re : Bridge (ou commant faire ...)

#3 Le 01/04/2007, à 17:08

Re : Bridge (ou commant faire ...)

#4 Le 01/04/2007, à 19:33

Re : Bridge (ou commant faire ...)

#5 Le 01/04/2007, à 20:04

Re : Bridge (ou commant faire ...)

#6 Le 01/04/2007, à 23:19

Re : Bridge (ou commant faire ...)

#7 Le 02/04/2007, à 09:56

Re : Bridge (ou commant faire ...)

#8 Le 02/04/2007, à 16:40

Re : Bridge (ou commant faire ...)

#9 Le 02/04/2007, à 23:21

Re : Bridge (ou commant faire ...)

#10 Le 03/04/2007, à 20:56

Re : Bridge (ou commant faire ...)

#11 Le 04/04/2007, à 00:05

Re : Bridge (ou commant faire ...)

#12 Le 11/04/2007, à 09:55

Re : Bridge (ou commant faire ...)

#13 Le 11/04/2007, à 11:28

Re : Bridge (ou commant faire ...)

#14 Le 11/04/2007, à 13:18

Re : Bridge (ou commant faire ...)

Pied de page des forums