Pare-feu IPCop, problème imprimante réseau (scan to folder)

[Rajh]

Bonjour
JE viens de mettre en place un pare-feu IPCop dans l'entreprise ou je fais un stage en IT Management.
Le pare-feu est configuré en vert-rouge et j'y ai installé URLFilter.
J'ai paramétré selon les exigeances de l'entreprise (c'est sans doutes encore incomplet mais on verra cela plus tard).
URLFilter effectue un filtre par adresse IP (simple liste noire qui bloque une liste de site ainsi que msn messenger) ainsi qu'un filtrage généralisé (contenu violent, pornographique etc).
Mais lorsque que j'intègre le pare-feu au réseau, celui-ci n'a pas accès au net.
L'interface rouge est pourtant bien activée et l'interface verte n'utilise pas de proxy ni le mode transparant (cela ne fonctionnait de toute façon pas avec).
Les deux interfaces verte et rouge sont configurées avec une adresse IP fixe et le DHCP sur IPCop est désactivé.
CEs interfaces sont toutes deux reliées au réseau avec des cables droit (le problème vient peut être de la mais je n'en ai pas la certitude), vert vers le LAN et rouge vers le WAN.

note: une imprimante réseau est installée pour l'impression centralisée de tous les employés et doit pouvoir fontionner avec le pare-feu (étant donné qu'elle se trouve dans le réseau vert, cela ne devrait pas poser de problèmes).

D'avance merci

[ccnet]

Comme d'habitude. Manque d'information techniques précises. Absence de méthodologie de tests et résultats des tests. Retour à la case départ : viewtopic.php?t=38987

[Rajh]

Je ne suis pas là pour faire un déballement de l'architecture du réseau sur lequel je travaille, cela m'est d'ailleurs interdit (politique de sécurité oblige), ni non plus pour suivre un cours sur la manière de poser une question

Par contre, j'ai oublié de préciser certains points en effets.

1.a) Dans la configuration du DNS primaire, j'ai configuré l'adresse de la passerelle (le routeur servant également de DNS), j'ai introduit une adresse générique spécifique à notre FAI en DNS secondaire.
1.b) J'ai d'abord testé en faisant l'inverse et il s'est avéré qu'aucunes interfaces du réseau, meme les interfaces vertes et rouge de IPCop ne pouvaient être contactées (PING indiquant "erreur générale").
Avec une configuration semblable au point 1.a), les interfaces verte et rouge de IPCop peuvent être contactées par la commande PING.

2) Le RNIS est désactivé (je sais pas si c'est important mais je le signale quand même)

Si j'ai oublié d'autres informations importantes, étant donnés que je débute encore en IPCop (pas en linux je vous rassure), demandez-les moi je vous les donnerai avec plaisir, je prends sur mon temps de travail pour venir poster ici donc je ne peux y passer que par courte période. Et puis c'est toujours plus sympas que de me dire "va voir ailleurs si j'y suis" en me plantant un lien devant les yeux qui ne m'avance pas plus que ca .

ps: l'interface GREEN et RED sont sur le même réseau (même plage d'adresse IP), est-ce que le problème peut venir de là ?

Merci d'avance

[ccnet]

Je ne suis pas là pour faire un déballement de l'architecture du réseau sur lequel je travaille, cela m'est d'ailleurs interdit (politique de sécurité oblige), ni non plus pour suivre un cours sur la manière de poser une question

ps: l'interface GREEN et RED sont sur le même réseau (même plage d'adresse IP), est-ce que le problème peut venir de là ?

Difficile de vous prendre au sérieux lorsque que vous vous prévalez d'une politique de sécurité mais que l'on comprend que vous n'avez même pas lu la documentation : http://www.ipcop.org/1.4.0/en/install/h ... ation.html

Je cite :
The RED, ORANGE, BLUE, GREEN diagram shows that, other than the RED net, each of the networks needs an Ethernet card. If you are currently using an Ethernet connection to the Internet, you will need a card for it, too. The networks must have different network addresses.

[jdh]

(Quelle patience tu as ccnet !)

Le moins que l'on puisse dire, c'est que vous y mettez VRAIMENT de la mauvaise volonté :

- le lien indiqué s'intitule "Comment se faire aider efficacement" (et il décrit par le menu votre attitude !)
- la configuration du contexte PEUT être décrite sans que la sécurité du réseau soit le moins inquiétée : tout le monde utilise le réseau 192.168.1.0/24 !
- quand on veut plein de choses (em même temps), il faut commencer par en faire UNE (à la fois) !

Si on imagine 5 interrupteurs en série, il faut que TOUS soit fermés pour que le courant passe.
Et pourtant on a tendance à ne jouer que sur un ou deux à la fois !

De grâce, réfléchissez : testez "de proche en proche" !
Par exemple, le Red est logiquement relié par un câble direct avec un routeur, si les adresses ip sont bonnes, il n'y a que 2 choix de câbles, donc c'est facile à tester !



Bon allez, une info de plus, cherchez donc ce qui est décrit, dans le forum, sur le sujet quand Red et Green sont sur le même réseau !

Bien pensez que si, pour certains, il faut 1 heure pour installer et commencer le paramétrage d'un firewall, c'est que cela fait ... 10 ans qu'ils font ça !

[Rajh]

Le moins que l'on puisse dire, c'est que vous y mettez VRAIMENT de la mauvaise volonté :

Aucunes volontés ne peut être bonne lorsque l'on a le sentiment d'être prit de (très) haut (sans doutes est-ce l'expression "stage en IT management" qui produit cet effet et ne me qualifiez pas d'étudiant frustré, c'est réellement l'image que vous dégagez sans doutes sans vous en rendre compte)

- la configuration du contexte PEUT être décrite sans que la sécurité du réseau soit le moins inquiétée : tout le monde utilise le réseau 192.168.1.0/24 !

J'ai reçu des consignes précises à ce niveau là et je dois m'y tenir, je n'ai pas le choix

- quand on veut plein de choses (em même temps), il faut commencer par en faire UNE (à la fois) !

Je n'ai pas l'impression d'avoir posé 10 questions en même temps

Restons en là pour les débats sur les attitudes de chacuns, c'est contreproductif et cela ne m'intéresse pas (pas plus qu'a vous non plus).

Le fait qu'il soit obligatoire que les interface RED et GREEN doivent se trouver dans des range-ip différentes risque sans doutes de poser des problèmes au niveau du DHCP.
En effet, c'est le routeur qui fait office de serveur DHCP et il utilise des plages d'adresses xxx.xxx.1.0/24, ce qui veut dire que si l'interface RED est configurée de la même manière, l'interface GREEN devra obligatoirement avoir une plage différente (à savoir xxx.xxx.2.0/24 par exemple) et cela risque de poser des problèmes au niveau de l'adressage dynamique non ?
Auquel cas je devrais désactiver l'adressage au niveau du routeur et l'activer au niveau d'IPCop.
A ce propos, jugez-vous le service DHCP d'IPCop comme "fiable" ? (ici c'est votre avis de pro qui m'intéresse).

J'utilise comme machine IPCop un assez vieux PC (on ne m'a fournit que celui-là et rien d'autre), un Compaq qui plus est , qui tournait sous windows 98 (donc puissance équivalente à un PIII au grand maximum) dont j'ai étendu la mémoire RAM à 192Mo (64+128). Sera-ce suffisant pour ne pas souffrir de pertes de performances trop importante ?

Etant donné que le personnel à besoin du réseau toute la journée, je ne pourrais faire de test complémentaire qu'après 16h. Donc je vous tiendrai au courant lorsque j'aurai testé la configuration sus-mentionnée.

Bien à vous

[ccnet]

Le fait qu'il soit obligatoire que les interface RED et GREEN doivent se trouver dans des range-ip différentes risque sans doutes de poser des problèmes au niveau du DHCP.

En effet, c'est le routeur qui fait office de serveur DHCP et il utilise des plages d'adresses xxx.xxx.1.0/24, ce qui veut dire que si l'interface RED est configurée de la même manière, l'interface GREEN devra obligatoirement avoir une plage différente (à savoir xxx.xxx.2.0/24 par exemple) et cela risque de poser des problèmes au niveau de l'adressage dynamique non ?

Ce n'est pas un risque, c'est une certitude.

Auquel cas je devrais désactiver l'adressage au niveau du routeur et l'activer au niveau d'IPCop.
A ce propos, jugez-vous le service DHCP d'IPCop comme "fiable" ? (ici c'est votre avis de pro qui m'intéresse).

Tout à fait fiable.

J'utilise comme machine IPCop un assez vieux PC (on ne m'a fournit que celui-là et rien d'autre), un Compaq qui plus est , qui tournait sous windows 98 (donc puissance équivalente à un PIII au grand maximum) dont j'ai étendu la mémoire RAM à 192Mo (64+128). Sera-ce suffisant pour ne pas souffrir de pertes de performances trop importante ?

C'est un PIII ou ce n'en est pas un ?
Un PIII est suffisant pour faire tourner IPCOP (firewall) avec la mémoire dont vous disposez.
Mais la mémoire disponible est tout à fait insuffisante pour faire tourner un proxy et le filtrage de contenu. Nous avons dit "quelques fois" qu'un proxy n'avait pas sa place sur le firewall.

[jdh]

@ccnet : tu as répondu sur le plan technique, c'est clair. Je réponds sur le reste.


A aucun moment, nous vous avons pris de haut.
Au contraire, et ccnet et moi nous fournissons des informations précises et utiles.
Il se trouve que, l'un comme l'autre (et pas mal de gens sur le site), cela fait 10 ans et plus que nous sommes en charge de divers réseaux avec firewall, filtrage, switch, et ....
Vous, vous êtes étudiant (ou presque), stagiaire, et vous avez un PC personnellement depuis plus de 10 ans.

Ce n'est pas la même expérience ni la même façon de prendre les problèmes.
(Moi, il y a 10 ans, j'avais 450 micros dans le réseau de mon entreprise !)


Un firewall, c'est très particulier et c'est (très) différent d'un pc usuel voire d'une distrib linux standard !
Mais c'est D'ABORD une façon de comprendre, de conduire un réseau avec N micros !

Un firewall, par exemple, et je viens de le mentionner, c'est un câble direct avec le routeur.
Donc les fonctions offertes par le routeur doivent être fournies par le firewall.
C'est "point barre", et pas autrement.
Alors on s'organise !

On se documente, on recherche sur Internet, on se documente, on réfléchi, on se documente, on fait un schéma avec papier, crayon, on réfléchi, et on se lance.
Puis, on procède PAR ETAPES, avec à chaque fois, un ou plusieurs tests qui valide l'étape. Puis passage à la suivante ...

Quand j'écris N choses, c'est un firewall plus du filtrage, (du dhcp).
Si vous ne commencez pas par la base (Red fonctionne, Green fonctionne, le dns fonctionne, ...), ça ne peut pas le faire !
Ce sont les "interrupteurs en série" : ils doivent être TOUS fermés !


NB : il est très notable d'écrire "un Compaq qui tournait sous windows 98, donc puissance équivalente à un PIII au grand maximum", ccnet ou moi, on aurait forcément trouvé le processeur, parce ce qu'on sait qu'un noyau Linux est compilé ou non pour la génération précise de processeur !

[Rajh]

Bonjour messieurs
Comme convenu hier j'ai effectué les modifications sus-mentionnées et j'ai effectué des petits test divers (test du blocage par URL, test de communication, etc).
Tout semble fonctionner correctement, et la machine semble avoir une configuration suffisante pour assurer son rôle de firewall et de DHCP (du moins je n'ai noté aucuns ralentissements).

Il me reste toutefois une dernière question:

Le patron de l'entreprise souhaite permettre à ses employés un accès plus laxiste à internet en dehors des heures de travail (facebook, etc).
Je me suis renseigné sur le paramétrage des contraintes horaires et j'ai trouvé ça.
Il y est dit que la notation CIDR fonctionne lorsque que l'on veut que toute une plage d'adresse soit concernée (j'ai testé comme cela hier mais ca ne fonctionnait pas, je réessayerai ce soir).
Toutefois je ne comprends pas trop ce que Billou02 à voulu dire dans son dernier post. Quelqu'un pourrait faire la lumière ?

Merci

[trollineto]

la gestion horaire fonctionne parfaitement.
il faut juste choisir entre la gestion horaire et le filtrage de URL Filter.
si on utilise la gestion horaire, il ne faut pas cocher de cases dans URLFilter dans la section "Catégorie de blocage"
en gros, la gestion horaire permet de définir a quel moment ces catégories de blocages sont actives ou non. la section dans la page d'urlfilter est permanente.

Ce n'est pas tout à fait correct.
URLFilter génère un fichier /var/ipcop/urlfilter/squidGuard.conf.
La section 'Block categories' d'URLFilter représente l'ACL 'default' du fichier /var/ipcop/urlfilter/squidGuard.conf. Les deux autres types d'ACL 'user quota' et 'time constraints' viennent en amont. Nous avons donc, dans l'ordre, les ACL de :

(plusieurs) 'user quota'
(plusieurs) 'time constraints'
'default' aka 'URLFilter|Block categories'

Le fichier est parcouru jusqu'à ce qu'une des règles soit validée. Quand aucune règle n'est validée, c'est 'default' qui s'applique. La documentation de squidGuard.conf explique clairement cela par un exemple.

N'oubliez pas de vider tous vos caches (notamment advProxy et votre navigateur) avant chaque test.

Belle journée.

[Rajh]

Bonjour
J'ai appliqué tous vos conseils et le pare-feu fonctionne correctement.
Les contraintes horaires fonctionnent et le blocage par URL et par catégorie fonctionne.
Aucuns problèmes non plus du côté de la fonction DHCP.

Par contre j'ai un nouveau problème:
L'imprimante réseau de l'entreprise permet de faire du "scan to folder", un document est scanné et envoyé sur le PC désiré au format PDF, au moyen de fichiers partagés gerés par l'imprimante (carnet d'adresse).
Avant l'installation du pare-feu IPCop, le scan to folder fonctionnait parfaitement (ce qui veut dire que tout était correctement paramétré) mais maintenant il ne fonctionne plus.
Lorsque je veux scanner un document et l'envoyer dans un dossier en local, l'imprimante ne trouve plus le chemin d'accès.
Si je veux reprogrammer le chemin d'accès, l'imprimante ne parvient plus à communiquer avec les postes du réseau, que ce soit par recherche ou en entrant le chemin manuellement (l'imprimante détecte les machines du réseau mais ne parvient pas à se "connecteré à elles).
Les tests que j'ai effectué sont les suivants, sachant que je n'ai pas touché à la configuration du domaine réseau et que l'imprimante est en IP fixe:
_ tous les postes arrivent à contacter l'imprimante (ping) mais l'imprimante ne parvient à contacter aucuns postes (ping)
_ l'imprimante arrive à contacter les interfaces rouge et verte du pare-feu ainsi que le routeur (ping)
_ aucuns changements lorsque la configuration IP de l'imprimante est modifée en "dynamique" (DHCP)
_ J'ai renseigné sur le pare-feu l'imprimante dans les "Hôtes statiques" avec les bons paramètres, sans résultats
_ L'impression réseau et le "scan to email" fonctionnent correctement
_ Connexion au panneau de configuration de l'imprimante à partir d'un poste de travail en local possible et fonctionnel
_ la pointeuse de présence et la caméra IP, autres périphériques statiques du réseau communiquent sans aucuns problèmes avec le réseau et sont accessibles

A première vue, tout porte à croire que le problème ne vient pas du pare-feu (ce qui est peut-être le cas) mais rien dans la configuration de l'imprimante ne me laisse penser que le problème vient de l'imprimante
étant donné que le scan to folder fonctionnait très bien avant l'installation du pare-feu.

D'avance merci pour vos réponses.

EDIT: je recycle ce topic pour ne pas en ouvrir un nouveau, le problème étant apparement lié.

[Franck78]

On apprécie toujours autant les détails techniques à profusion.
C'est vraiment un secret mettant en péril la boite de donner au moins le modèle de l'imprimante ?

Tiens un scénario bien configuré 'avant' :
Ton imprimante est piratée, a chaque impression elle envoie une copie à l'extérieur. Très mal écrit, le patch pirate contacte son serveur en http et IPCop bloque cette destination. Pas de bol, l'apprenti pirate n'a pas prévu le cas et plante l'impression à chaque fois.
Pourtant c'était bien configuré.....

[jdh]

Quand on veut résoudre un problème, il faut d'abord réfléchir !

Le "scan to folder" ne peut s'appuyer QUE sur le(s) protocole(s) SMB/CIFS.
Donc il faudrait ouvrir TOUT ce qui est nécessaire à SMB/CIFS.

Or, on doit éviter plus que tout de mettre une machine en Orange utilisant SMB/CIFS !

Mettre une imprimante en Orange, c'est déjà curieux.
Ouvrir SMB/CIFS est dangereux et souvent inutile !

[ccnet]

Faire transiter SMB/CIFS d'une zone à l'autre au travers d'un firewall est d'une certaine façon le début de la fin tant il nécessite de ports ouverts. Sur le plan fonctionnel je ne vous pas bien l'intérêt du positionnement de cette machine scan copieur en dmz, ce qui au passage oblige à mettre dans sa configuration une gateway par défaut. Ces machines, pleines de fonctionnalités sophistiquées, ne sont pas exemptes de problèmes de sécurité, y compris leur serveurs http embarqués. J'ai vu récemment qu'il était possible d'uploader du code actif sur ces machines ...
Si l'argument initial était la sécurité, c'est un bien mauvais choix sur le plan de l'architecture.

[Rajh]

On apprécie toujours autant les détails techniques à profusion.
C'est vraiment un secret mettant en péril la boite de donner au moins le modèle de l'imprimante ?

Non, c'est une Ricoh MPC2051 (nouveaux modèle sortit courant janvier).

Cela n'a peut être pas été dit explicitement mais il n'y a pas de zone orange (toutefois, je n'ai jamais fait mention d'une zone orange dans mes posts précédent ), l'imprimante se trouve donc dans la zone verte et non dans la DMZ.
Et puis ai-je l'air si idiot que ca pour mettre un copieur en DMZ alors qu'il n'a rien à y faire !?

D'avance merci