QoS ou L7 ?

[ccnet]

Si tu est en DHCP, le problème des adresses IP ne se pose pas ....

Je n'en sus pas si sûr ! Reprenons.

Une freebox en mode routeur (nous y reviendrons) connecté sur RED d'ipcop et selon la suggestion de Franck les PC secrétariat connectés à BLUE. Bien sûr nous savons tous que les numéros de réseaux utilisés pour chaque interface d'ipcop doivent être différents. La question ne se pose toujours pas ?

Revenons à la freebox. Plutôt que de l'utiliser en routeur nous vous recommandons fortement de l'utiliser en pont. L'adresse ip publique fixe sera sur l'interface Wan du firewall (ipcop ou un autre). Il n'y aura alors aucune difficulté à utilise le réseau 192.168.0.0/24 sur l'interface Blue.

Les raisons d'utiliser la Freebox en pont plutôt qu'en routeur devant le firewall ont été plusieurs fois présentées dans ce forum.

[jdh]

Voilà comment moi je noterais le contexte, les besoins, ... et je m'y prendrais.


Contexte
- un accès internet ADSL via Freebox
- zone secrétariat : 2 PC
- zone libre service : 4 PC

Besoin
- sécuriser l'accès à Internet depuis chaque PC en libre service
- séparer les PC secrétariat des PC libre service

Solution "jdh"
- firewall pfsense avec 3 cartes réseau : Wan, Lan (=secrétariat), Libre (=libre-service)
- freebox en bridge (pont) connecté à Wan de pfSense
- 2 switchs connecté l'un à la carte Lan (=secrétariat), l'autre à Libre (=libre-service)
- install package Squid + SquidGuard + Lightsquid
- tous les PC en dhcp + configuration @adr mac -> @adr ip selon zone (=> noter pour chaque PC son adresse MAC)
- ajuster les rules selon l'interface

Rules carte WAN (mode client DHCP)
- autoriser icmp/echo sur Wan Address

Rules carte LAN (adresse fixe 192.168.2.1/24)
- interdire any vers Libre subnet
- autoriser icmp/echo vers any
- autoriser http + https+ftp+pop+smtp vers any

Rules carte LIBRE (adresse fixe 192.168.3.1/24)
- interdire any vers Lan subnet
- autoriser icmp/echo vers any
- autoriser http + https+ftp vers any


Approche step by step ...
- vérifier les adressages, les ping, le dns, ...
- vérifier l'affectation dhcp selon adresse mac, ...
- installer Squid, vérifier le log, le mode transparent
- installer SquidGuard, ajouter la blackliste de toulouse, configurer l'interdiction, tester, ...


Pour 6 micros, cela me prendrait une plus ou moins grosse demi-journée parce que je connais bien pfSense et parce que j'ai déjà fait ce type de config. Mais il faut prendre un peu de temps pour s'habituer à, comprendre comment on fait, ...

[ccnet]

Pour moi c'est ce qu'il faut faire.

Et pas là dessus un petit cluster et un second abonnement chez un autre FAI Pro parce que l'accès à internet est hyper mega critique ? Non je rigole.

[selector]

ben actuellement mes 2 pc secretariat sont en dhcp sur la freebox, qui leur alloue une adresse en 192.168.0

ma question, c'est :
si je raccorde la freebox a l'interface rouge de l'IPCOP, celle ci va donc se voir affecter elle aussi une adresse en 192.168.0
du coup, est-ce que je pourrai configurer l'IPCOP pour qu'il délivre lui aussi des IP en 192.168.0 sur les PC de l'interface bleue ?

anthony

[ccnet]

ben actuellement mes 2 pc secretariat sont en dhcp sur la freebox, qui leur alloue une adresse en 192.168.0

ma question, c'est :
si je raccorde la freebox a l'interface rouge de l'IPCOP, celle ci va donc se voir affecter elle aussi une adresse en 192.168.0

Non il faut mettre la freebox en pont. C'est votre firewall qui sera en dhcp pour récupérer auprès de free l'ip publique.

du coup, est-ce que je pourrai configurer l'IPCOP pour qu'il délivre lui aussi des IP en 192.168.0 sur les PC de l'interface bleue ?

anthony

Oui.

Pensez à lire le newbie Kit pour les question d'adressage ip.

[selector]

rebonjour et encore merci, vraiment sur ixus la valeur ajoutee est enorme !

deja, j'ai merdé, avant de poster ma question de 16h20, je n'avais pas lu vos deux messages, et surtout la "checklist" de jdh
maintenant, j'ai compris l'approche de l'adressage
ma question n'a plus d'importance

je dois dire que la checklist de jdh vaut de l'or !
maintenant je commence a etre tres interressé pour oublier l'histoire du WRT54
ce qui me plait c'est les rules possible sur pfSense, genre
(je sais dire ca a propos d'un fw, c'est comme de dire que ce qui me plait dans une voiture, c'est les roues)

mais ce que je me demande, c'est si c'est aussi simple à la souris dans l'ihm de pfSense ... pour moi, je veux dire .. je vais bien voir
bon, bref, définitivement je vais essayer cette solution, mais je peux plus changer maintenant, je vais garder l'IPCOP pour le mois d'aout, j'ai trop de trucs autres a faire d'ici un mois
(j'aurais du venir ici en 1er plutot que sur hfr !)

d'ailleurs le truc important ds ton message jdh, c'est la grosse journée de travail et aussi tes hypotheses pour ce chiffrage
avec mes hypotheses a moi, tu multiplie par 1.5, et encore, si le contexte ne me met pas des batons ds les roues (certains pc sont fatigués, je vais etre dérangé, je vais faire ca en plusieurs fois)

par contre, encore qques questions breves :

A) une freebox en bridge, ca veut dire que c'est le pfSense qui répondrait a un ping extérieur vers mon IP, et pas la freebox comme actuellement, correct ? si oui, quel avantage de faire ca ?

B) pourquoi autoriser l'icmp sur l'interface WAN ? deja ca eviterait que certains pirates ne m'attaquent, s'ils ne me pinguent pas, non ?

C) sur le LIBRE, je rajouterai peut etre pop et smtp vers any, pour ne pas etre trop rigide qd meme, mais evidemment je m'expose aux virus par email, vous allez me dire ?

D) j'ai compris que BOT est natif, mais est-ce que les addons style p2pblocker et urlfilter sont disponibles aussi pour pfSense ?

E) eventuellement quels avantages je pourrais obtenir en hostant le pfSense sur un proliant xeon de récup plutot que le pc athlon actuel ? régler le point C) par exemple ?

merci pour votre temps

anthony

[Franck78]

y a tant de questions qu'on sait pas trop à la quelle répondre

A)c'est vrai que l'avantage n'est pas flagrant. Disons que ca évite un routeur, donc un élèment actif pouvant servir de support à n'importe quoi. Ca zappe aussi une étape NAT. Puis pf ou Ipcop aiment bien recevoir en direct l'internet. Ca nourri les logs

B)parceque icmp c'est du diagnostic et c'est utile. et ta protection ne se limite pas, j'espère, à être non pingable!

C)smtp du fai seul. Un smtp sur une IP origine 'adsl_de_fai_dynamique' est suspect par défaut (blacklisté).

E) aucun, un PIII/800 suffit à tout faire.

[selector]

merci pour la réponse (oui je pose bcp de question désolé !)

A) zapper une étape NAT c'est bien par principe, ou ca a aussi une influence (meme minime) sur les temps de latence ?

B) ben si, ma protection se limite a bloquer l'ICMP, puisque actuellement les PC sur le LAN sont en direct sur la freebox, mais je vais pas y revenir

C) OK tu me conseille d'autoriser SMTP vers only le smtp de mon provider, c'est bien ca ? et le POP vers any par contre, c'est correct ?

E) OK

maintenant, je repose ma derniere question sans réponse, sur pfSense par rapport a IPCOP :
=> j'ai compris que BOT est natif, mais est-ce que les addons style p2pblocker et urlfilter sont disponibles aussi pour pfSense

autre chose, ne vous énervez pas, mais en plus des 4 PC en libre service, je commence à songer à proposer du wifi pour le réseau public. Je sais, ca changerait donc encore mon contexte, je suis désolé mais on vient de me donner cet AP, je n'avais pas prévu.
En fait on m'a fourni un AP WG302 de Netgear, et je me disais que je pourrais le connecter a la sortie de mon IPCOP, sur le switch raccordé a l'interface verte.
=> en considérant que j'utilise p2pblocker, BOT, et urlfilter sur l'IPCOP, voyez vous un inconvénient a cette idée de Wifi ? je pense qu'au max il y aurait une trentaine de PC portables connectés dessus, pendant le mois d'Aout. Et moins d'une dizaine en temps normal

merci
anthony

[selector]

Les raisons d'utiliser la Freebox en pont plutôt qu'en routeur devant le firewall ont été plusieurs fois présentées dans ce forum.

ce sujet m'interresse, est-ce que vous pouvez me donner un lien vers la bonne discussion svp ?
merci par avance
anthony

[jdh]

2 messages au dessus , Franck78, Point A de la réponse !

D'accord c'est succinct, mais il y a une partie des justifications !

Il est toujours préférable que le firewall dispose directement de l'adresse ip publique.

J'ajouterais que la possibilité d'établir certains VPN est directement liée à l'ip publique sur le firewall.

[selector]

2 messages au dessus , Franck78, Point A de la réponse !

D'accord c'est succinct, mais il y a une partie des justifications !

Il est toujours préférable que le firewall dispose directement de l'adresse ip publique.

J'ajouterais que la possibilité d'établir certains VPN est directement liée à l'ip publique sur le firewall.

d'accord, merci

Ensuite, le VPN, je ne connais pas mais si j'ai bien suivi ca me permettrait d'avoir acces a des partages sur les machines windows du secrétariat ou du LAN par exemple ? ou meme une imprimante ?
j'ai deja expérimenté Hamachi, c'est un peu comme un VPN, correct ?

une freebox en pont, ca me permettrait aussi d'autoriser un acces au firewall a distance en SSH sans devoir ouvrir quoi que ce soit sur la freebox, c'est correct ?

anthony

[ccnet]

Pour ce genre de question je vous invite à faire aussi le boulot vous même : http://forums.ixus.fr/search.php avec freebox et mode comme mots clés pour commencer.
Comme disait Jdh dans un post sur le sujet : la sécurité aime la simplicité. Or empiler routeurs et translations successives ne va pas dans ce sens.

[jdh]

Par définition, si la box est en mode bridge, elle "n'apparait plus" logiquement dans le trafic.
Par voie de conséquence, il n'y a plus rien à configurer dessus !

[trollineto]

L'année prochaine, j'achèterais un WRT54 (avec DD-WRT par ex), pour mieux protéger ces 2 PC ...

branche les plutôt sur la carte BLEUE de IPCop. Ils profiteront de immédiatement de BOT, squid, filtrage url et si comme tu dis IPCop tombe en panne c'est toujours simple de déplacer un cable réseau pour les remettre sur la boxe.
D'ailleurs un WRT n'apportera pas grand chose de plus que la freebox. En tout cas rien de comparable à un IPCop.

Bonjour
Je pense qu'il est préferable de mettre les 4 PCs en libre service sur le BLUE et les PC du secrétariat sur le GREEN (et se passer du WRT54). (advProxy et) urlFilter pour le porno, p2pblock pour le p2p (bien que cela ne soit pas efficace à 100%) sont de bonne solutions. Je sais que je vais en faire hurler, mais BOT est très (trop) strict parfois... Sinon, QOS_ng me semble utile pour équilibrer l'utilisation de la bande passante entre les différents PCs (l7 est là, alors autant en profiter...)
Trollineto