Newbie Kit IpCop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Comment filtrer les sites sur lesquels on surfe ?

Messagepar loberty » 13 Sep 2005 22:34

Question : Comment filtrer les sites sur lesquels vont surfer les utilisateurs ?

Mots-clefs : filtrage, urlfilter, advproxy, sites, blackslistes

Réponse :

Si vous souhaitez autoriser/interdire des sites sur lesquels surfent les utilisateurs, il faut utiliser la notion de proxy et de filtrage d'URL (ce que vous taper dans la barre d'adresse de votre navigateur sous la forme http://www.google.fr).

Proxy
IPCOP intègre déjà un proxy : squid.
Activez le par l'interface graphique d'IPCOP dans SERVICES puis PROXY.
Activez aussi le mode transparent. Ainsi, toute machine surfant sur un site en passant par IPCOP passera obligatoirement par le proxy sans à avoir à configurer les postes clients.

Filtrage d'URL
Le filtrage d'URL peux se faire de 2 manières :
    soit vous configurez vous même SQUID par le mode console (retroussez les manches, prenez un tube d'aspire, et un thermos de café),
    soit vous utilisez un addon permettant de faire cela par l'interface graphique d'IPCOP.
    Il existe de nombreux addons.
J'en citerais 2 :Pour ma part j'utilise URLFILTER.
Pour l'installer suivez les indications du site du concepteur.
Avec vous pourrez autoriser et interdire des sites.

BLACKLISTS
C'est quoi une blackliste ?
Imaginons nous que vous désiriez interdire une liste de 50 sites.
Vous allez alors créer une liste comportant ces 50 sites à interdire : c'est une blacklist, une liste noir, une liste de sites interdits.
Maintenant imaginons que vous souhaitez interdir l'accès aux sites à caractère pornographique.
La liste est longue...
Au lieu de vous ennuyez à créer cette liste vous même (bon courage ! et bon surf :-) ), vous allez télécharger des blacklists déjà faites.
Je vous conseille alors : ftp://ftp.univ-tlse1.fr/blacklist/
Avec les addons cités précédemment, vous pourrez les télécharger automatiquement et périodiquement.

Bonne chance :-)
Dernière édition par loberty le 14 Sep 2005 07:19, édité 2 fois au total.
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Modifier la configuration d'installation d'IPCOP

Messagepar loberty » 13 Sep 2005 23:02

Question : Une fois IPCOP installé comment changer le paramétrage du clavier, les adressages réseaux et cartes

Mot-clefs : setup, modifier

Réponse :
    Connectez vous en mode console sur ipcop avec putty par exemple.
    Identifiez vous comme root.
    Tapez la commande setup.

Bonne chance :-)
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar loberty » 16 Sep 2005 15:42

Question : Comment rendre un serveur hébergé derrière IPCOP (web, ftp, etc ...) accessible depuis internet ?

Mots-clefs : transfert de ports, hébergement, serveur web, serveur ftp, no-ip, dyndns

Réponse :

Vous avez un firewall IPCOP et une connexion internet : c'est le minimum !
Vous aimeriez que depuis internet on puisse accéder à un serveur ou une station de votre réseau, par exemple :
    accéder à votre serveur web,
    accéder à votre serveur FTP,
    ou prendre en main votre PC depuis l'extérieur avec pcAnywhere, VNC, etc ...
Ceci est tout à fait réalisable avec IPCOP.

Il y a en fait 2 choses à faire :
    Etape n°1 : permettre aux utilisateurs d'internet de vous trouver
    Etape n°2 : ouvrir l'accès désiré : serveur web, ftp, etc ...
Etape n°1 - Permettre aux utilisateurs d'internet de vous trouver

Si un pote veut vous envoyer un mail, il doit connaître votre adresse mail, sans cela il ne saura à qui envoyer le mail. Donc vous avez une adresse mail, c'est à dire un moyen de vous identifier de manière unique.
Pour un serveur, c'est la même chose. Si votre même pote veux accéder à votre serveur, il doit savoir où se situe le serveur, il doit vous trouver sur internet.
Pour que l'on puisse vous trouver sur internet, il n'y a que 2 moyens :
    1. que les gens connaissent votre adresse IP public fixe/statistique (c'est votre FAI qui vous le dira)
    2. avoir un nom de domaine du type je-suis-sur-internet.org qui vous appartienne.
Adresse IP fixe ou statique
Votre FAI peux vous donner 2 types d'adresse : statistique ou dynamique.
Avec la dynamique, à chaque fois que vous vous connectez à internet vous avez une adresse IP différente, donc les gens voulant vous joindre ne sauront pas à quelle adresse vous êtes puisqu'elle change en permanence.
Avec une adresse statique/fixe, systématiquement vous avez la même adresse, donc on sait toujours comment vous joindre, puisque l'adresse ne change jamais (sauf si vous changer de FAI).

Nom de domaine
Un nom de domaine est un nom qui vous appartient, il est du type mondomaine.org, donc pour allez chez vous dans la barre d’adresse de votre navigateur on tapera par exemple http://mondomaine.org.
De manière simple vous pouvez créer un nom de domaine gratuit.

Et alors on en fait quoi de tout cela ?
Si vous n'avez pas de d'adresse IP fixe, il vous faut trouver un moyen de vous rendre joignable pour les personnes de l'extérieur, ceci ce fait avec un nom unique qui ne change pas : c’est le nom de domaine. Vous aller donc devoir en créer un, c’est gratuit.
Si vous avez une adresse IP fixe, c’est parfait, on sait comment vous joindre systématiquement.
Par contre il est vrai que ce n’est pas toujours génial de demander aux utilisateurs de taper votre adresse IP : c’est pas facile à retenir et difficile à identifier. Donc même si vous avez un adresse IP fixe, je vous conseille de vous créer un domaine tout de même.

Comment créer un nom de domaine.
Il existe différents organismes qui offrent un nom de domaine gratuit, ici je ne parlerais que de NO-IP, mais le principe doit être le même avec les autres.
    allez sur http://www.no-ip.com
    enregistrez-vous,
    vous recevrez un mail de confirmation, cliquez sur le lien pour activer votre inscription
    créez le domaine dans HOST/REDIRECTS puis ADD
    le nom de domaine est en 2 partie par exemple toto et no-ip.info ce qui fera le domaine toto.no-ip.info, vous pouvez définir librement le toto pour le no-ip.info vous pourrez juste le choisir parmi une liste de choix
    ensuite, choisissez pour HOST TYPE : DNS HOST (A)
    créez le domaine par le bouton create host.
Et on en fait quoi maintenant ?
Vous avez un nom de domaine.
Le problème ce pose pour ceux qui n’ont pas d’adresse IP fixe.
Quand l’adresse IP va changer, NO-IP n’en saura rien, il renverra donc les demandes de connexion sur l’ancienne adresse : pas de chance !
C’est ici qu’IPCOP intervient. On va lui dire de se connecter régulièrement sur NO-IP et de mettre à jour l’adresse IP référencée chez NO-IP avec votre nouvelle adresse IP dynamique.
Pour les personnes ayant une adresse IP fixe, vous n’avez pas à le faire puisque votre adresse ne changera jamais, NO-IP aura donc toujours la bonne adresse.

Ajouter dans IPCOP la mise à jour de l’adresse dynamique chez NO-IP
Dans IPCOP :
    allez dans SERVICES puis DNS DYNAMIQUES
    sélectionnez le service NO-IP.COM
    dans NOM D’HOTE saisissez le nom que vous avez créé, par exemple si votre domaine est toto.no-ip.info, saisissez ici toto
    dans DOMAINE saisissez l’autre partie du domaine, dans l’exemple toto.no-ip.info ce sera no-ip.info
    saisissez le NOM D'UTILISATEUR et le MOT DE PASSE avec lesquel vous vous etes enregistré chez NO-IP
    dans VERIFICATION resaisissez de nouveau le mot de passe
    cochez ACTIVE et cliquez sur AJOUTER
    une fois fait, cliquez sur FORCER LA MISE A JOUR pour qu’IPCOP aille mettre à jour l’adresse IP sur NO-IP
    pour vérifier que cela fonctionne, allez dans les journaux JOURNAUX => JOURNAUX SYSTEME => IPCOP, vous devoir voir le résultat SUCESS
Etape n°2 - Autoriser l'accès à votre serveur

C’est fini ?
Non pas du tout.
Maintenant vous êtes joignable de l’extérieur, mais c’est pas pour cela que votre serveur est accessible.
Il vous faut maintenant paramétrer IPCOP pour que toute demande provenant d’internet au sujet de votre serveur soit routée sur votre serveur.
Pour cela :
    allez dans PARE-FEU => TRANSFERT DE PORTS
    dans PORT SOURCE indiquez le port sur lequel se présentera la personne qui est sur internet, par exemple 80 pour le web
    dans ADRESSE IP, saisissez l’adresse IP interne de votre serveur, par exemple 192.168.0.3
    dans PORT DESTINATION, saisissez le port sur lequel écoute votre serveur, par exemple 80 pour le web
    cochez ACTIVE et cliquez sur AJOUTER

Maintenant IPCOP, transférera toute demande provenant d’internet sur le port PORT SOURCE vers le serveur ADRESSE IP sur le port PORT DESTINATION

Comment tester ?
Depuis votre réseau local n’essayez pas de faire les test, en effet, les règles de sécurité d’IPCOP n’autorise pas une connexion de sortir de votre IPCOP pour y revenir (antispoofing je crois).
Si vous désirez tester un serveur web par exemple, aller sur un proxy anonyme http://www.web-consulting.fr/proxy/anonyme.htm.
Sinon, pour les autres serveurs, demandez à quelqu’un.

Bonne chance
Dernière édition par loberty le 16 Sep 2005 22:17, édité 2 fois au total.
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar loberty » 16 Sep 2005 17:57

Question : Comment connaître son adresse IP publique ?

Mots-clefs : adresse ip publique

Réponse : Aller sur le site http://www.myip.dk c'est indiqué au début de la page
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Résolution NetBios dans un VPN

Messagepar kinkey » 05 Déc 2005 17:17

Question : Comment atteindre mon serveur au travers d'un VPN avec sont nom NetBios ?
Mots Clefs : netbios, voisinage réseau
Réponse : Pour commencer une petite expliquation de NetBios :
- http://ourworld.compuserve.com/homepage ... ntents.htm
- http://www.microsoft.com/mind/1196/cifs.asp
- http://www.netbiosguide.com/
- http://fr.wikipedia.org/wiki/Netbios
- http://bruno.duffet.free.fr/technique/r ... /resms.htm
- http://www.microsoft.com/windows2000/fr ... etBIOS.htm

Il existe plusieurs méthodes, je vais vous présenter celle que j'utilise. Dans un premier temps la topologie. Dans mon cas ce ne sont pas des VPN inter-sites mais des liaisons entre le siège et des utilisateurs distants (client nomade, roadwarrior). Au siège je dispose d'un contrôleur de domaine (PDC) qui assure l'authentification des clients locaux, mais les clients nomades possèdent un compte sur le PDC (Samba). Pour permettre à ces clients d'atteindres les ressources partagées via la couche NetBios il m'a suffit d'activer sur le contrôleur de domaine le service WINS et de paramétrer tout mes postes, locaux et distants, pour interroger le service WINS et demander les infos sur le réseau au lieu que chacuns fassent des requêtes dans tout les sens à tout le monde. En plus de résoudre les noms NetBios, cela m'a permis de réduire le broadcast sur mon réseau.

Autre solution :
- Dans le cas de site distant il peut être interressant de passé par un DNS de chaque côté et que ces deux DNS ce réplique entre-eux.
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar foobar47 » 05 Jan 2006 12:49

Question : Comment changer le port d'administration (nouvelle version)

Mots-clefs : interface administration port

Réponse :
Dans certaines situations, il est nécessaire de changer le numéro de port servant aux connexions sécurisées. Il s'agit d'éviter un conflit avec le port 445 utilisé par les Directory Services (SMB sur TCP/IP) des versions récentes de Windows. Certains FAI bloquent systématiquement ce port 445 pour raison de sécurité, c'est à dire pour empêcher la propagation de virus.

Un utilitaire en ligne de commande du nom de setreservedports a été introduit avec la version d'IPCop 1.4.8. Il permet de modifier le port sécurisé d'écoute de l'interface d'administration.

Code: Tout sélectionner
$ /usr/local/bin/setreservedports 5445


Même si le port numéro 5445 est suggéré dans l'exemple précédent, n'importe quel numéro de port entre 445 et 65565 convient tout aussi bien. S'il vous arrivait d'oublier le numéro de ce port, vous pouvez toujours utiliser le protocole non sécurisé HTTP et le port 81 : votre requête est alors automatiquement redirigée.

Le résultat s'affiche sur la console :
root : /usr/local/bin/setreservedports :https port shift to 5445


issu de http://www.chbcp.net/~pat/ipcop/admin/html/ch02.html
foobar47
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 16 Déc 2005 17:09

Affectation de la bonne carte réseau GREEN

Messagepar Theoreme » 15 Mai 2006 13:27

La carte réseau de l'interface GREEN n'est pas celle que vous vouler ?

Bien sur, il est possible de déplacer la carte en question.
Mais comment faire lorsque c'est invariablement la même carte qui veux devenir verte ?
C'est l'art de ce jouer des interruptions !

Exemple:
un ordinateur qui possède 2 slot PCI, 2 ISA et une carte réseau intégré (ZDS Zstation 5500e par exemple) avec l'ambition d'un IPCOP Full mode.
- 2x 3COM 3C905 (100 Mbits / PCI)
- 1x 3COM 3C509 ( 10 Mbits / ISA)
Or c'est justement la carte ISA qui est détectée en premier, dommage pour la vitesse du réseau local.

Solution :
L'interface GREEN est défini lors de la première configuration.

Installez uniquement les carte PCI

Lors de la détection, une carte 100 Mbits sera affectée au réseau GREEN.
la seconde l'interface BLUE
et la carte intégré au réseau RED.....
Finir la configuration et couper l'ordinateur.

Installez la carte ISA

Apres reboot un nouveau setup
et redetectez les cartes.
L'interface GREEN est toujours affecté à la 1ere carte PCI.
Au final,

- 1ere PCI -> Interface GREEN
- 2eme PCI -> Interface BLUE
- Carte intégrée -> Interface RED
- Carte ISA -> Interface ORANGE

bonne config !
Zen est le maitre mot en ce bas monde !
Avatar de l’utilisateur
Theoreme
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 09 Avr 2005 00:45
Localisation: 78

Messagepar Billou02 » 15 Mai 2006 18:54

Question : Comment se loguer sur ipcop en mode console ? en interface web ?

Mots-clefs : Ipcop, Interface Web, Putty, Console, Admin, Root

Réponse :

Pour l'interface web : se loguer avec le nom d'utilisateur admin

pour le mode console (via putty par exemple) : se loguer avec le nom d'utilisateur root

dans les deux cas, le mot de passe à rentrer est celui que vous avez choisi a l'installation.

A vous de jouer.
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar shwing » 03 Juil 2006 09:28

Question: Rendre impossible la vue de la page index.cgi

Mots-clé: httpd.conf , password, mot de passe, sécurité, home page, authentification, page de garde,

Réponse: modifier le fichier /etc/httpd/conf/httpd.conf aux lignes 58 à 65 modifier ceci

remplacer ceci:
Code: Tout sélectionner
<Files index.cgi>
    Satisfy Any
    Allow from All
</Files>

<Files credits.cgi>
    Satisfy Any
    Allow from All
</Files>


par ceci:

Code: Tout sélectionner
<Files index.cgi>
    AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/ipcop/auth/users
    Require user admin
</Files>

<Files credits.cgi>
    AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/ipcop/auth/users
    Require user admin
</Files>


lancer la commande
Code: Tout sélectionner
killall httpd


et relancer par

Code: Tout sélectionner
httpd -DSSL


ce qui a pour but de fermer le serveur web et de le relancer pour activer les modifications.


merci à yarglaheu et à Billou02 pour ce tuto.




UPDATE 4/NOV/2008:
""""""""""""""""""""""


Gesp a écrit:
Code:
Code: Tout sélectionner
httpd -DSSL



Il me semble que le -DSSL n'est plus nécessaire en v1.4 (cela l'était en v1.3).
Le démarrage avec openssl est obtenu à partir du fichier de configuration d'apache.
Dernière édition par shwing le 04 Nov 2008 17:32, édité 1 fois au total.
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar Billou02 » 03 Juil 2006 12:07

Question : Combien de temps restent allumés vos serveurs ou firewalls avant reboot ?

Mots-clefs : Uptime, uptime project, Yasuc

Réponse : Installer Uptime Yasuc :

- Télécharger le fichier correspondant au systeme utilisé Yasuc (linux) ou autres dans la section DOWNLOADà l'adresse http://fr.uptime-project.net.
- Inscrivez-vous dans la section S'ENREGISTRER.
- Validez l'inscription par la réception de l'email de confirmation.
- Vous pouvez aussi joindre une ligue (facultatif) par la section: JOINDRE UNE LIGUE, il y a IPCOP, FREE-EOS , etc...
- Installer YASUC par ./install (linux) apres décompression du fichier (tar -xvzf habituel :wink: )
- Editer le fichier /etc/yasuc.conf en modifiant le nom d'utilisateur et le mot de passe
- Editer le fichier CRONTAB (free-eos) ou fcrontab -e (ipcop) et y ajouter
Code: Tout sélectionner
X * * * * /bin/yasuc

ou X correspond au nombre de minutes avant update. les infos sont réactualisées sur le site toutes les 30 minutes, donc inutile de saturer leur serveur en envoyant vos données toutes les minutes :wink:

Il suffit d'aller sur le site 1 heure apres pour voir si les données ont étés mise à jour.

EDIT : Mars 2007 = L' Uptime Project est fermé... :( (Merci a Chirel pour cette info ;) )

Merci a polikarpov5 qui a été le premier à parler de ce projet, ce tuto est inspiré d'un mp qu'il m'a envoyé.
Dernière édition par Billou02 le 06 Avr 2007 22:20, édité 3 fois au total.
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar unnilennium » 20 Avr 2007 22:05

Question : ou trouver plein de'addonspour ma version de ipcop

Mots-clefs
: plugin, contrib, addons

Réponse
: http://mh-lantech.css-hamburg.de/ipcop/


a cette adresse vous trouverez les addons les plus a jours dans plein de domaines.
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar Muzo » 15 Fév 2008 17:47

Question : Ou trouver un tutorial sur Ipcop?
Mots Clefs :débutants, noob, newbie
Réponse : Dans ces liens:
Firewall IPCop : sécuriser son réseau avec Linux
Firewall IPCop : guide de l'interface web d'administration
Firewall IPCop : guide des services
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar rv91 » 10 Mai 2008 12:09

Muzo a écrit:Autre Site utile :
- http://ipcop.hn.org/
ce lien est mort.
rv91
Major
Major
 
Messages: 76
Inscrit le: 28 Jan 2008 13:58
Localisation: Essonne

Comment changer le port d'écoute SSH 222

Messagepar zsunol » 16 Nov 2008 13:25

Question : Comment changer le port d'écoute SSH (222 par defaut)

Mots-clefs : SSH 222 putty

Réponse :

Dans le fichier sshd_config se trouvant dans /etc/ssh/

Changer la ligne 13
PORT 222

merci à Petzi pour la solution posté en 2004
:)
98 jours d'uptime avant la mise à jour vers 1.4.16!
Avatar de l’utilisateur
zsunol
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 07 Oct 2006 19:13
Localisation: localhost

Documentation IPCOP

Messagepar nicolas76 » 27 Nov 2008 12:04

Bonjour à tous,

J'utilise IPCOP depuis quelques années maintenant, et vu que je commence à pas trop mal le connaitre, j'ai réaliser un joli petit support, permettant de réaliser un certain nombre d'action telles :

- Installation (off course !)
- Proxy Avancé
- UrlFilter
- Authentification
- Update accelerator
- Sarg
- BlockOutTraffic

à venir :

- Zerina (VPN)

Vous trouverez dans ce document la procédure complete d'installation d'ipcop pour un débutant qui ne l'a jamais utilisé !

vous trouverez ça ici : http://lejeune.nicolas.free.fr/docipcop/tuto_ipcop.doc

[/list]
nicolas76
Matelot
Matelot
 
Messages: 3
Inscrit le: 05 Nov 2008 17:33

PrécédentSuivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron