BlockOutTraffic - problme d'installation

[jdh]

Forcément !!!!!
Ce que vous décrivez n'est pas lié à un firewall mais lié à la fonction proxy !

Imaginez un proxy comme Squid et un logiciel de visualisation des logs comme LightSquid et vous avez une foule d'informations (qui vous fera d'ailleurs perdre votre temps !).


Maintenant, combien d'utilisateurs avez vous ?
Si c'est plus de 10, il FAUT un proxy dédié.
Alors vous vous prenez par la main et vous regardez soit une Debian soit un solution tel Artica soit ...

Moi, une Debian me demande 30' d'install de base, l'ajout des outils (Squid, Apache, ...) encore 30', 1h pour copier la config depuis une machine qui fonctionne et adapter la config. Et ça roule. Mais j'ai une certaine habitude ...


Faudrait pas abuser : le sujet c'était au départ BOT, vous avez regardé pfSense et vous n'avez pas un mot sur les rules, les alias, le nat, bref le "BOT" intégré de pfSense !

[Valérie]

j'ai pas dit que je cherchais un firewall il me semble
je n'ai pas plus de 10 utilisateurs

et peut être que pour vous, c'est facile de surfer sur Linux avec des installations en ligne de commande mais c'est pas le cas de tout le monde.

j'ai regardé Artica aussi, je n'ai pas fini de lire le site mais c'est pas simple non plus.

[jdh]

On reprend :
- le sujet initial c'est l'install de BOT (seul outil de contrôle effectif de flux pour Ipcop),
- le deuxième besoin c'est le contrôle de la navigation,
- le nombre d'utilisateurs est inférieur à 10.

pfsense est incontestablement une bonne solution (et sans doute plus aisé qu'Ipcop).
Par contre, cela exige une machine avec une certaine puissance et bien équipée en mémoire ! (ce n'est pas lié à pfSense mais au besoin mémoire de Squid et de ses compléments).

pfSense vient avec
- l'équivalent de BOT avec Rules, Alias (en assez aisé, il faut le dire),
- les packages Squid, SquidGuard et LightSquid (attention la mise en oeuvre demande une certaine expertise),
- en sus, de multiples possibilités intégrées comme le VPN OpenVPN, CARP, ....

Il importera de bien "rentrer" dans ce qui est inclus, et ne pas chercher ce qui n'existe pas ...
Je rappelle que le réglage efficace de Squid / SquidGuard n'est pas si simple (solution intégrée ou non).

[Valérie]

On reprend :
- le sujet initial c'est l'install de BOT (seul outil de contrôle effectif de flux pour Ipcop),
- le deuxième besoin c'est le contrôle de la navigation,
- le nombre d'utilisateurs est inférieur à 10.

jusque là on est d'accord
je veux rien bloquer, je veux juste protéger mon boss en traçant les connexions des utilisateurs de l'internet Wifi
dans le cas où un jour, on vienne nous dire "quelqu'un ici a consulté tel site tel jour, on veut savoir qui et pourquoi"
(je suis responsable de la sécurité des systèmes d'information dans une administration, mon travail est d'ouvrir des parapluies pour pas qu'on soit mouillé en cas d'averse ou de déluge).

pfsense est incontestablement une bonne solution (et sans doute plus aisé qu'Ipcop).
Par contre, cela exige une machine avec une certaine puissance et bien équipée en mémoire ! (ce n'est pas lié à pfSense mais au besoin mémoire de Squid et de ses compléments).

c'est là que je risque de me faire jeter par l'informatique qui a déjà pas de moyen.
L'avantage d'ipcop, c'est que ça marchait sur une machine de crotte qui allait partir à la réforme.
Sachant que j'en ai deux à mettre en place, tout le monde était content.

pfSense vient avec
- l'équivalent de BOT avec Rules, Alias (en assez aisé, il faut le dire),
- les packages Squid, SquidGuard et LightSquid (attention la mise en oeuvre demande une certaine expertise),
- en sus, de multiples possibilités intégrées comme le VPN OpenVPN, CARP, ....

Mon ipcop marche bien et correspond à ce que je veux.
il me manque juste la partie "forcer le passage par le proxy" parce que je dois obligatoirement passer par WPAD pour autoconfigurer les navigateurs qui ne servent pas seulement à aller sur le net via cette connexion (poste itinérant).

c'est quand meme con de tout remettre en cause juste parce que BOT n'apparait pas dans le WEBgui...
à la limite faudrait que je cherche si on peut le configurer en ligne de commande.

j'avoue pfsense est en anglais et ça m'effraie, pour moi mais pas seulement. Les gens qui travaillent à l'informatique ici ne sont pas des "informaticiens" pour la plupart. ils savent appliquer un truc, suivre un tuto mais ça va pas plus loin. J'ai peur que quand je quitterai le service, la personne qui mettra le nez dedans derrière soit complètement larguée...

[jdh]

On est plus dans des problèmes techniques ...
Et quand l'organisation prend le pas sur la technique, on sait où ça mène ...
Quand à une difficulté avec l'anglais, ce n'est pas la peine de faire de l'informatique ...

Pour 10 users et pour 500Mo de cache dans Squid, il faut 512Mo de mémoire minimum !
Nb pour 5000Mo de cache, il faudrait 2G de mémoire ... et cela ne servirait à rien !

[Valérie]

On est plus dans des problèmes techniques ...
Et quand l'organisation prend le pas sur la technique, on sait où ça mène ...

Bah si, à la base, mon problème reste BOT.

Quand à une difficulté avec l'anglais, ce n'est pas la peine de faire de l'informatique ...

on n'est pas dans le privé monsieur, où on n'a pas les moyens de payer les techniciens info plus de 2000€.
Dans l'administration, on fait avec les moyens du bord, c'est à dire qu'on recycle le personnel.

[jdh]

Ma réflexion n'appellait aucune polémique : tout ce qui tourne autour de linux, de distrib orientées sécurité, d'outils et documentations un tant soit peu techniques est en anglais.

Perso, je lis aussi vite en anglais qu'en français, peut-être parce que le prof d'informatique avait demandé la doc du système de l'école en anglais, plus sûrement parce qu'utilisant Linux depuis 15 ans, les docs d'origine, les man, les fichiers de conf modèle, etc ... sont en anglais.
Mais il ne faut pas exagérer : l'interface de pfSense ne présente guère de difficultés (surtout en 1.2.3).


NB : je sais, pour avoir essayer, ce qu'est le public ... Quelques uns sont bons et passionnés, d'autres moins.

[Franck78]

Valérie travaille pour le ministère de la Justice

Sinon, avec un peu d'attention (oui oui), on note que chaque page affichée par IPCop est indiquée en clair dans la barre d'adresse. Des pages CGI. Simplement (exemple : cgi-bin/index.cgi).

Avec cette simple constatation, il est facile
1) d'essayer directement le nom de page (retrouvé en explorant l'archive bot par exemple)
2) de la valider ou non qu'il est installé
3) d'exercer un peu sa curiosité pour voir comment/ou est fabriqué le menu affiché par le naviguateur
4) ....

Rien de trancendant donc pour poser un diag et corriger le problème ou alors refaire l'install.

[Valérie]

bon je sais pas comment j'ai fait mais visiblement, BOT avait fait semblant de s'installer.
J'ai copier/coller à la main des fichiers en fonction du fichier install.
j'ai relancé l'install et avec la bidouille, ça a finit par fonctionner.

Je suis incapable de le refaire et je sais pas ce que je vais mettre dans la procédure d'installation mais ça marche, c'est déjà ça

merci pour le coup de main