config ipcop, blockouttraffic & advproxy

[manzo]

bonjour à tous

tout nouveau sur ce forum, soyez indulgents s'il vous plaît!!!!

malgré toutes mes recherches (plusieurs jours de lecture!!), je ne trouve pas solution à mes problèmes.
voilà, actuellement en stage, je dois configurer un serveur ipcop afin de sécuriser le site et plus particulièrement filtrer la navigation web.
je suis dans un cfa, donc présence d'élèves.

1. mon tuteur me demande à ce que les stagiaires ne visitent pas les pages https
j'ai donc enlever le mode transparent, configurer le proxy sur le client test, et créer plusieurs groupes (j'intègre l'adresse mac du pc test au fur et à mesure dans les différents groupes), avec différentes règles dans bot.
hors, malgré tout cela, mon groupe stagiaire, où je n'ai pas configuré la règle accès https, y accède tout de même!!
pour l'instant je n'ai pas configurer d'authentification.

question: l'ordre des règles est-il important? comment ce comportent-elles?

2. là c'est plus complexe. est-il possible de créer des droits différents (règles, accès) sur un même pc avec différentes sessions, sans pour autant s'identifier à chaque connexions internet?

dans ce centre, il y a deux domaines, un gérer par la boîte (sur server 2003), pour les employés, l'autre sur un autre server par la région e-lorraine.

question: comment faire pour accorder des droits différents sur le même pc (élèves: accès uniquement http+ filtrage url & prof accès complet en laissant filtrage url au pire)?

j'espère que j'ai été assez clair, je m'embrouille à force de lire!!!!
merci

[manzo]

BONJOUR
bon d'accord, j'ai réussi à lire dans un autre post, que différents droits sur différentes sessions n'étaient pas possible.
n'empêche que j'ai encore accès à https alors que non configuré.

je répète: mode transparent désactivé, proxy configuré sur chaque clients, et pas d'authentification. j'ai suivi le tuto de lejeune nicolas (très bien fait d'ailleurs).

dois-je mettre en règle bot, https (ipcop 445), cela a-t-il une influence?
l'ordre des règles appliquées est-il important?
dois-je entrer des tables, dois-je fermer tous les ports accès internet dans /etc/rc.d/rc.firewall.local comme stipulé dans le pdf 'advproxy-proxy web avancé'?

et je sais que la place d'un proxy n'est pas sur un firewall, comme j'ai pu le lire, mais je n'ai pas le choix

merci tout de même

[jdh]

Avant d'installer quelque addons que ce soit, il faut installer BOT.

BOT est absolument nécessaire pour contrôler précisément tous les flux (entrants et surtout sortants qui ne sont pas filtrés).

On peut activer ou non le proxy, si en sortie il n'y a pas de contrôle ...

[Franck78]

Hello,

j'espère que j'ai été assez clair, je m'embrouille à force de lire!!!!

C'est surtout que l'on ne s'improvise pas ingénieur ou technicien réseaux/sécurité.
Tout n'est que logique implacable entre les acteurs que tu cites. Encore faut-il les connaitre indépendament.


1°une personne n'est pas une machine. A chacun son type de filtrage.
2°ipcop ne filtre rien 'en sortie', tu l'as compris
3°BOT filtre des machines
4°sur ipcop, le proxy squid a parfaitement sa place.
5°le proxy http peut filtrer seulement du protocole http (oui bien sur on y a rajouté https, ftp). Mais pas plus. Et il peut identifier des personnes.
6°l'interface adv-proxy n'expose pas forcément toutes les subtilités que l'on peut obtenir en réglant soi même le proxy.
7°oui l'ordre des règles iptables (squid) à une importance. Si une régle 'large' accepte/rejete un évènement, une régle plus élitiste avec généralement l'action contraire ne sera jamais appliquée par la suite.

Conclusion: révise le modèle OSI chez Christian Caleca

Salut

[manzo]

bonjour,

C'est surtout que l'on ne s'improvise pas ingénieur ou technicien réseaux/sécurité.

Je n'en ai surtout pas la prétention, au contraire, mais faut bien commencer un jour, comme vous avez due tous le faire.

merci pour le cours de Christian caleca, j'en ai fait bon usage

je vais essayer de gratter encore un peu:

1°une personne n'est pas une machine. A chacun son type de filtrage.
3°BOT filtre des machines
7°oui l'ordre des règles iptables (squid) à une importance. Si une régle 'large' accepte/rejette un évènement, une règle plus élitiste avec généralement l'action contraire ne sera jamais appliquée par la suite.

1. si j'utilise une authentification windows (serveur 2003), est-il possible d'avoir des configurations de filtrage différentes?

3. donc mes règles bot ne changeront pas selon utilisateurs (sessions)?

7. compris pour les règles iptables, et en ce qui concerne les règles bot, est-ce la même chose?

désolé si je passe pour un newbie

merci

[Franck78]

mais faut bien commencer un jour, comme vous avez due tous le faire

oui et cela prend beaucoup de temps.
Si tu dis avoir fait bon usage du cours de CC entre cette nuit et ce matin (ce que l'on comprend), c'est totalement irréaliste par exemple.

L'objet de BOT n'est pas de pallier l'approximation du responsable réseau ipcop. Sur un fw commercial c'est peut être un argument que de 'donner les régles, je réordonnerrai'. Donc sur bot, dont je n'ai jamais lu le code, je dirais qu'il n'y a pas ce genre de fonction inutile.

1,3: on peut toujours tout trouver, écrire, faire écrire, acheter. Un système commercial saura interroger un AD et associer des règles de 'sessions' ou 'applicatives'

[manzo]

on m'a conseillé les cours sur le modèle OSI, donc j'ai lu 'modèle OSI', et donc réaliste

je crois que le newbie restera newbie, beaucoup de philosophie dans les réponses pour des questions simples.

j'ai pourtant beaucoup appris grâce à votre forum, moi qui ne connaissait pas ipcop il a y 15 jours.

je sais que vous êtes des cracks et que vous n'aimez pas perdre votre temps, que vous faîtes ça pour le plaisir.

dois-je en conclure que l'ordre des règles bot n'a pas d'importance et qu'une seule configuration peut-être appliquée pour tout le monde?

merci