[RESOLU] Proxy: Administration et rapport web

juleshouantonon · Le 04/08/2008, à 21:32

Bonjour avec votre permision je me permet de déterrer ce Post juste pour quelques petites questions.

1-Est-ce que le proxy de Ipcop est transparent par défaut ou faudra t-il faire des configurations supplémentaire s'il l'on veulent qu'ils soit transparent?

2-Est ce que IPcop fonctionne avec Winscp, afin que je copie des archives ou fichiers et de les déposer sur le firewall ipcop pour installations. Je dis ca puisque je compte télécharger Sarg pour ipcop afin de visualiser les logs du proxy. Autrement comment devais-je donc copier les fichiers depuis un environnement Xp et le coller là-dessus je veux dire IPcop?

Merci pour vos apports d'avance.:)

Dernière modification par juleshouantonon (Le 04/08/2008, à 21:33)

Adesfire · Le 04/08/2008, à 21:44

IPCOP est transparent par défaut, ne t'inquiète pas.
Par contre, pour une gestion plus fine de qui fait quoi, il te faudra gérer des utilisateurs, et donc, configurer les postes de ton parc !

Laeris · Le 05/08/2008, à 18:48

1 - oui transparent no soucis
par contre pour l'authentification, contrairement à l'avis d'Adesfire, je te conseillerai de le laisser transparant et de paramètrer ton firewall ipcop comme passerelle chez les client : ca sera totalement transparant pour les utilisateurs et tu peut avoir l'ip des client + une authentification user ( locale, ldap, AD crosfot ...)

2 - alala... vous etes bien nombeux à vouloir éplucher les logs de proxy ces temps ci ^^
winscp : pas de probleme, pense seulement à activer le ssl sur ipcop sinon tu ne pourra pas te connecter.

Je renouvelle mon conseil précédent : il y a des communautés pour ipcop et pour les addon qui ont des forum et qui sont trèèèssss calés dans le domaine... ok, va falloir faire chauffer la nintendo DS pour arriver à poser la question en anglais
C'est vrai que ce post ... il a pas grand chose à voir avec ubuntu (à moins que les user "loggés" ne soient sous ubuntu lol)

EDIT : ta signature est effrayante ! ca t'arrive vraiment ?
"Ce que j'aime dans l'informatique est que, dès fois tu fais des choses et ca marche,et tu ne sais pas pourquoi......."

Dernière modification par Laeris (Le 05/08/2008, à 18:50)

juleshouantonon · Le 05/08/2008, à 23:38

Laeris a écrit :

1 - oui transparent no soucis
par contre pour l'authentification, contrairement à l'avis d'Adesfire, je te conseillerai de le laisser transparant et de paramètrer ton firewall ipcop comme passerelle chez les client : ca sera totalement transparant pour les utilisateurs et tu peut avoir l'ip des client + une authentification user ( locale, ldap, AD crosfot ...)
2 - alala... vous etes bien nombeux à vouloir éplucher les logs de proxy ces temps ci ^^
winscp : pas de probleme, pense seulement à activer le ssl sur ipcop sinon tu ne pourra pas te connecter.
Je renouvelle mon conseil précédent : il y a des communautés pour ipcop et pour les addon qui ont des forum et qui sont trèèèssss calés dans le domaine... ok, va falloir faire chauffer la nintendo DS pour arriver à poser la question en anglais
C'est vrai que ce post ... il a pas grand chose à voir avec ubuntu (à moins que les user "loggés" ne soient sous ubuntu lol)
EDIT : ta signature est effrayante ! ca t'arrive vraiment ?
"Ce que j'aime dans l'informatique est que, dès fois tu fais des choses et ca marche,et tu ne sais pas pourquoi......."

Bonjour, j'ai effectué un long voyage pour une mission et je suis rentré aujord'hui, malgré ma fatigue je tenais à lire mes posts, et ta reponse m'a beaucoup fait marrer par rapport à ma signature.:lol: Pour te répondre sans exagérer ca m'arrive rarement, par exemple, il arrive dès fois que mes serveurs aient de problème grave, du coup je panique, et ensuite, un simple rédémarrage aurait suffit pour ne plus revoir le problème, qu'est-ce qui s'est donc passé??:rolleyes: L'essentiel est donc que le problème soit réglé.
Mais personnellement je pense que c'est un défaut d'administration de Windows, il ne debugg pas bien les application, par contre avec linux la console est en générale gentille si tu sais t'y prendre, à moins que tu sois débutant comme moi.;)

Merci pour tes conseils surtout par rapport aux communauté IPCOP et Winscp.
Par rapport à la transparence et la gestion d'authentification, je pensais que ce n'est pas possible de gérer les deux à la fois sous linux, je veux dire avoir un proxy transparent et gérer les users qui se connectent à Internet via authentification. Sinon comment compte tu qu'on peut le faire avec IPCOP.

Merci!

juleshouantonon · Le 05/08/2008, à 23:39

Adesfire a écrit :

IPCOP est transparent par défaut, ne t'inquiète pas.
Par contre, pour une gestion plus fine de qui fait quoi, il te faudra gérer des utilisateurs, et donc, configurer les postes de ton parc !

Salut,
Merci pour la suite aussi, je suis content que IPCOP soit transparent, c'est important pour moi, mais reste à savoir si on peut gérer les authentifications en même temps!

juleshouantonon · Le 06/08/2008, à 00:10

Une dernière préoccupation sans pouvoir exagérer SVP, je voudrais savoir s'il est possible d'activer la fonction de reverse Proxy + VPN sur IPcop, mon but du jeu est d'implémanter un firewall complet.

Je m'explique j'ai en en général un serveur Exchange 2003 qui fonctionne avec du Webmail, et j'ai réussi à convaincre ma boîte à le protéger avec des solutions Opensource, genre faire du nat, créer un dmz et faire du reverse proxy pour accéder à OWA(Outlook Web Access),et aussi faire du VPN pour accéder à un samba depuis l'extérieur.

J'ai donc télécharger IPCOP, gravé, content d'avoir une gallette fonctionnelle, je veux dire gravure réussie et bootable!;)

Il ne reste donc à l'implémenter avec deux cartes réseaux sur un Pc que mon boss a réussi à acheter.

J'ai fouiller sur le net et apparemment Ipcop demande 4 cartes réseaux pour bien être configuré, mais moi je pense que avec 2 je pourrai créer une zone verte et une zone orange avec 2 ip privées de sous réseaux différent, je veux dire par expemple 192.168.0.1 pour le réseau local, zone verte, donc 192.168.0.1 est passerelle pour le lan,

et 192.168.1.2 pour la zone orange en ayant le routeur à 192.168.1.1, je choisi donc cette zone comme dmz.

Par rapport au VPN, est ce qu'il y aurait d'inconvénient si j'indiquais le nom de mon domaine simplment genre xxxx.com.

Merci pour vos apports et soutient, c'est à la base de vos réponses que je vais démarrer les installations, là je serai sûr que des choses ne m'arriveront pas sans que je ne sache... lol

Merci!

Laeris · Le 06/08/2008, à 09:57

Je viens de monter une install a peu pres similaire à ce que tu veux faire :

modem (ppoe) - ipcop - zone verte (le lan)
- zone orange dmz (un petit serveur web)

l'adressage ip de ta zone verte devra être 192.168.0.1/255.255.255.0.
l'adressage ip de ta zone orange devra être 192.168.1.1/255.255.255.0.

ton exchange devra être sur la zone orange.

Optionnel mais interessant : je te conseil d'installer l'addon "copfilter" (qui te permettra en plus de filtrer spam et virus à la volée, de gèrer black & white liste, etc..).

Pour le VPN : zerina + openvpn fonctionne très bien mais attention : la vitesse de connexion doit être très importante pour attaquer samba, ca m'étonnerai que tu puisse l'utiliser comme ça (mieux vaudrait passer par du FTP)

Pour l'autentification : advanced proxy + url filter : l'écran de gestion proxy comportera la partie autentification tout en bas, il suffit de paramètrer l'ip de ton serveur ldap (ou ton PDC dans ton cas) + un user ayant les droits de lecture.
Il faudra paramètrer les postes clients pour que leur passerelle soit l'ip de la caerte verte d'ipcop (sous un environnement AD, avec une gpo il y en a pour 2 minutes)

Pour la consultation d'exchange en webmail : il faudra que tu ouvres et routes le port 443 (https) vers ton exchange (attention, d'un point de vue sécurité, c'est pas super...)
Pour une consultation facile du webmail, il suffit que tu ajoutes une entrée dans ta zone DNS qui pointe vers l'ip fixe de ton exchange. d'ailleur tu doit déjà en avoir une en enreg MX pour le routage des mails vers ton serveur.
Ainsi les users pourront entrer par : https://monserveurmail.mondomaine.com/exchange ou un truc du genre.

Pour le VPN : pareil, un enreg de ta zone DNS peut pointer vers ton ip fxie (à la rigueur le meme enreg que précédement si tu es sur de jamais avoir à séparer les 2)

Avec tout ça, il va quand meme falloir surveiller le système surtout au niveau mémoire : si ça commence à swapper, ça va être une catastrophe.
Tu as combien d'utilisateurs en zone verte et sur le VPN ?

Adesfire · Le 06/08/2008, à 10:47

Attention, je n'ai rien conseillé du tout ! J'ai juste expliqué ce que je savais d'IPCOP pour en avoir mis un en place il y un peut plus de deux ans dans une association.

Au passage, il fonctionne à merveille et sait très vite se faire oublier (à part pour les MAJ bien entendu !)

On parle de transparence, j'imagine que tu veut dire par la "rien à faire coté poste client".

Il y a de nombreuses possibilité avec IPcop pour la configuration de ton système, je te donne la mienne :
- IPcop est installé de manière classique, avec en plus les plugins permettant un filtrage assez fin, en gros, je sais quel IP est allez voir quel site, notamment s'il est interdit (au passage, on affiche un message dissuasif à la personne). L'avantage, c'est que ça reste totalement transparent et ne demande aucune configuration.

Il ne s'affiche pas clairement le nom de la personne qui à consulté le site dans les logs, mais si tu as un réseau bien ficelé, tu le retrouveras sans mal ! j'ai la correspondance des IP avec les postes, et tout ça est enrobé d'un serveur AD (beurk je sais, mais je n'ai rien pu faire pour le remplacer par un PDC samba cause exchange adicts).

En gros, on arrive à savoir qui fait quoi et quand, mais de toute manière, le message affiché est suffisant pour stopper toute envie de récidive !

Ce qui est bien avec IPcop, c'est que tu peux le façonner à ton gout, et que la communauté est très active, en plus, c'est robuste comme à en faire pâlir des solutions dédiés !

juleshouantonon · Le 06/08/2008, à 16:54

Laeris a écrit :

Je viens de monter une install a peu pres similaire à ce que tu veux faire :
modem (ppoe) - ipcop - zone verte (le lan)
- zone orange dmz (un petit serveur web)
l'adressage ip de ta zone verte devra être 192.168.0.1/255.255.255.0.
l'adressage ip de ta zone orange devra être 192.168.1.1/255.255.255.0.
ton exchange devra être sur la zone orange.
Optionnel mais interessant : je te conseil d'installer l'addon "copfilter" (qui te permettra en plus de filtrer spam et virus à la volée, de gèrer black & white liste, etc..).
Pour le VPN : zerina + openvpn fonctionne très bien mais attention : la vitesse de connexion doit être très importante pour attaquer samba, ca m'étonnerai que tu puisse l'utiliser comme ça (mieux vaudrait passer par du FTP)
Pour l'autentification : advanced proxy + url filter : l'écran de gestion proxy comportera la partie autentification tout en bas, il suffit de paramètrer l'ip de ton serveur ldap (ou ton PDC dans ton cas) + un user ayant les droits de lecture.
Il faudra paramètrer les postes clients pour que leur passerelle soit l'ip de la caerte verte d'ipcop (sous un environnement AD, avec une gpo il y en a pour 2 minutes)
Pour la consultation d'exchange en webmail : il faudra que tu ouvres et routes le port 443 (https) vers ton exchange (attention, d'un point de vue sécurité, c'est pas super...)
Pour une consultation facile du webmail, il suffit que tu ajoutes une entrée dans ta zone DNS qui pointe vers l'ip fixe de ton exchange. d'ailleur tu doit déjà en avoir une en enreg MX pour le routage des mails vers ton serveur.
Ainsi les users pourront entrer par : https://monserveurmail.mondomaine.com/exchange ou un truc du genre.
Pour le VPN : pareil, un enreg de ta zone DNS peut pointer vers ton ip fxie (à la rigueur le meme enreg que précédement si tu es sur de jamais avoir à séparer les 2)
Avec tout ça, il va quand meme falloir surveiller le système surtout au niveau mémoire : si ça commence à swapper, ça va être une catastrophe.
Tu as combien d'utilisateurs en zone verte et sur le VPN ?

Merci bien surtouts pour les ajouts, je trouve donc le produit extrèmement puissant, ca serait vraiment du bonheur si j'arrive à l'installer comme indiqué avec tous ces services.
Donc pas besoin de faire du reverse Proxy pour protéger OWA, j'ouvre juste le port 443, sur mon premier modem/routeur et pareil sur IPCOP, et je garde exchange dans la zone orange(j'espère que les posts clients devraient accéder à leur boîtes au lettres,en principe Oui, puisqu'ils auront comme passerelle 192.168.0.1, or les 2 cartes réseaux devraient entrain de se parler en faisant du Masquerading+Ip forwarding,conclusion à mon avis les users devraient être capable d'accéder au Boîtes aux lettres Exchange a priori .)

Par raport au réseau réseau VPN tu me recommande donc un ftp à la place de Samba, oui c'est vrai aussi que notre bande passante n'est si élevée pour le nombre users surtout.

Pour répondre à ta question j'ai 102 users en zone verte + 12 users en VPN.
Pour finir je devrais aussi téléchargé les pluggins urlfilter+zerina+openvpn+advanced proxy et les décompresser et installer??

Merci pou suite d'avance.

juleshouantonon · Le 06/08/2008, à 17:00

Adesfire a écrit :

Attention, je n'ai rien conseillé du tout ! J'ai juste expliqué ce que je savais d'IPCOP pour en avoir mis un en place il y un peut plus de deux ans dans une association.
Au passage, il fonctionne à merveille et sait très vite se faire oublier (à part pour les MAJ bien entendu !)
On parle de transparence, j'imagine que tu veut dire par la "rien à faire coté poste client".
Il y a de nombreuses possibilité avec IPcop pour la configuration de ton système, je te donne la mienne :
- IPcop est installé de manière classique, avec en plus les plugins permettant un filtrage assez fin, en gros, je sais quel IP est allez voir quel site, notamment s'il est interdit (au passage, on affiche un message dissuasif à la personne). L'avantage, c'est que ça reste totalement transparent et ne demande aucune configuration.
Il ne s'affiche pas clairement le nom de la personne qui à consulté le site dans les logs, mais si tu as un réseau bien ficelé, tu le retrouveras sans mal ! j'ai la correspondance des IP avec les postes, et tout ça est enrobé d'un serveur AD (beurk je sais, mais je n'ai rien pu faire pour le remplacer par un PDC samba cause exchange adicts).
En gros, on arrive à savoir qui fait quoi et quand, mais de toute manière, le message affiché est suffisant pour stopper toute envie de récidive !
Ce qui est bien avec IPcop, c'est que tu peux le façonner à ton gout, et que la communauté est très active, en plus, c'est robuste comme à en faire pâlir des solutions dédiés !

Ok superbe, c'est noté, comme je dis la Solution IPCOP vaut le coup, rien à dire.

Merci!

juleshouantonon · Le 06/08/2008, à 21:32

Bah, j'ai commencé les installations et déjà j'ai des ennuies, c'est à croire que mon cd n'était pas bon. Tantôt malgré que le calvier soit choisi en tant que francais, quand je tape l'IP ca ne reconnais pas des points,ca sort des virgules à leur place.

La première fois ca avait l'ère de marcher mais j'avais sauté l'étape de configuration de mot de passe root, mais ca marchait en tant que passerelle. J'ai voulu donc tester le filtre des pages web, puisque à priori ca devrait faire tout ce rôle par défaut. J'étais donc confronté à un problème de port du proxy d'IPcop pour le configurer dans le navigateur.
Ben là ca commence.......ennuies,mais je ne sais pas si ma galète n'est pas bonne je parle de mon cd, mais ca m'étonnerai:(

juleshouantonon · Le 09/08/2008, à 18:08

Bonjour, j'ai que si vous ne repondiez plus c'est tout simplement parce que c'est pas le bon forum indiqué,merci encore une fois pour vos apports, car je viens vous informer que j'ai réussi à installer IPCOP avec un pentium3 128 Mo de ram. Bref mon proxy fonctionne en transparent, j'ai installé le plug-in Advanced Proxy+ Urlfilter. Je voulais installer Copfilter pour filtrer les virus + spam mais là il va falloir passé à 256 Mo de RAM. Ensuite je vais installer zerina pour le VPN.

Très content, je prend une pause et je verrai Copilter après avoir complèté la RAM,j'espère qu'IPCOP va reconnaitre la RAM dans sa mémoire juste après l'ajout.:rolleyes:

Merci et bon weekend à vous tous.:lol::lol:

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 04/08/2008, à 21:32

Re : [RESOLU] Proxy: Administration et rapport web

#27 Le 04/08/2008, à 21:44

Re : [RESOLU] Proxy: Administration et rapport web

#28 Le 05/08/2008, à 18:48

Re : [RESOLU] Proxy: Administration et rapport web

#29 Le 05/08/2008, à 23:38

Re : [RESOLU] Proxy: Administration et rapport web

#30 Le 05/08/2008, à 23:39

Re : [RESOLU] Proxy: Administration et rapport web

#31 Le 06/08/2008, à 00:10

Re : [RESOLU] Proxy: Administration et rapport web

#32 Le 06/08/2008, à 09:57

Re : [RESOLU] Proxy: Administration et rapport web

#33 Le 06/08/2008, à 10:47

Re : [RESOLU] Proxy: Administration et rapport web

#34 Le 06/08/2008, à 16:54

Re : [RESOLU] Proxy: Administration et rapport web

#35 Le 06/08/2008, à 17:00

Re : [RESOLU] Proxy: Administration et rapport web

#36 Le 06/08/2008, à 21:32

Re : [RESOLU] Proxy: Administration et rapport web

#37 Le 09/08/2008, à 18:08

Re : [RESOLU] Proxy: Administration et rapport web

Pied de page des forums