Installer IPCop sur une machine Cisco PIX 515e

[pfrancois]

Bonjour

Je dispose chez moi d'un firewall Cisco PIX 515e qui n'est plus utilisé et je voudrais mettre IPCop dessus. Je ne sais pas si ce que je vais demander a du sens, mais cette machine a apparemment toutes les caractéristiques pour pouvoir installer IPCop en remplaçant la carte Compact Flash par une carte CF avec IPCop pré-installé.

En ouvrant le boîtier, pour commencer je ne trouve pas de carte CF comme celles que je connais.

J'aimerais savoir si quelqu'un a déjà essayé de faire cela avant moi et si cela a du sens d'essayer.

[jdh]

Je ne vois AUCUN intérêt à essayer de faire cela.

(Ce doit être parce que j'ai passé la journée dans un grand parc de loisirs en Vendée, et s'il a plu à quelque moment, il a fait aussi un beau soleil, et j'ai la tête bien échauffée ...)

Outre la confusion sur le matériel interne, je ne comprends ni la volonté de substituer un autre OS à ce Cisco IOS (quand même très réputé pour faire un firewall) ni celle de choisir pour cela IPCOP ... Bref pas mal de choses que je ne ferais pas.

Je peux penser qu'il n'y a rien de mieux d'un hardware très classique pour supporter IPCOP ...

[pfrancois]

Je ne vois AUCUN intérêt à essayer de faire cela.

(Ce doit être parce que j'ai passé la journée dans un grand parc de loisirs en Vendée, et s'il a plu à quelque moment, il a fait aussi un beau soleil, et j'ai la tête bien échauffée ...)

Outre la confusion sur le matériel interne, je ne comprends ni la volonté de substituer un autre OS à ce Cisco IOS (quand même très réputé pour faire un firewall) ni celle de choisir pour cela IPCOP ... Bref pas mal de choses que je ne ferais pas.

Je peux penser qu'il n'y a rien de mieux d'un hardware très classique pour supporter IPCOP ...

Merci de cette réponse, c'est un peu ce que je pressentais.

[ccnet]

J'ai aussi passé la journée d'hier en Vendée. Du soleil, mais aussi beaucoup de vent assez froid pour la saison. Je ne sais pas si c'est pour cela que cette idée (installer ipcop dans un PIX 515) me laisse ahuri. Sans doute le vent et la fatigue.

[pfrancois]

J'ai aussi passé la journée d'hier en Vendée. Du soleil, mais aussi beaucoup de vent assez froid pour la saison. Je ne sais pas si c'est pour cela que cette idée (installer ipcop dans un PIX 515) me laisse ahuri. Sans doute le vent et la fatigue.

Bon ça va, hein, tous ces amiraux qui me descendent en flamme.

Je cherche une machine i386, pas trop rapide (300 à 800 MHz), sans disque dur, avec une carte CF, min 4 sorties eth et montable en rack, de préférence une machine qui traîne dans un coin et qu'on utilise plus. Quand on voit ce qu'il y a dans les tripes d'un firewall Cisco, je comprends qu'on se pose tout de même ne fût-ce que la question, non? Ce firewall Cisco, sur le marché d'occasion, ça ne vaut plus que 100€ max.

[jdh]

Il y a 2 questions :

* récupérer cet hardware :
Je peux supposer que ce matériel est très spécifique. Il ne sera pas aisé d'en faire autre chose. (Mais je peux me tromper.)
D'ailleurs, tu t'attends à y trouver une CF ... qui ne s'y trouve pas.

Pour des entreprises, soit je récupère un PC sorti de parc soit j'achète un hardware neuf 1er prix. En général, il y a la place de laisser une UC type tower près d'un routeur ...

* remplacer l'OS par Ipcop.
Franchement, il n'y a pas photo entre Cisco IOS et Ipcop.
Pour ce que j'en connais, IOS dispose d'une appli externe (à installer sur un autre PC), et d'une ligne de commande. Tandis qu'IPCOP dispose d'une interface web de management et d'une ligne de commande universelle et non dédiée firewall.

Par ailleurs, Ipcop est toujours engoncé dans son jeu de couleurs suffisante pour les cas usuels certes mais restrictive.

Bref, pas de raisons objectives de casser IOS.


Si la question est de réaliser quelque chose d'embarqué, je regarderai du côté de Soekris ou Wrap ...
Je regarderais aussi du côté de pfSense ...

[ccnet]

Il est clair que Cisco IOS (ou encore , Cat OS l'autre des deux OS propriétaires de Cisco) et ipcop ne jouent pas dans la même catégorie. Par contre le hardware du 515E est limité et les débits réseau possibles s'en ressentent :
http://www.cisco.com/en/US/products/hw/ ... 1b17.shtml

[pfrancois]

Merci jdh et ccnet pour vos réactions.

[pfrancois]

Si la question est de réaliser quelque chose d'embarqué, je regarderai du côté de Soekris ou Wrap ...
Je regarderais aussi du côté de pfSense ...

Soekris: OK parce qu'on peut mettre IPCop dessus.

Quant à pfSense: non, parce que c'est un pare-feu sans filtre http (qu'on me contredise s'il faut), or si j'ai besoin d'IPCop au lieu d'un simple pare-feu, c'est parce qu'il faut mettre un filtre de contenu http basé sur une base de données avec listes noires automatiquement mises à jour par téléchargement.

Il me semble que Wrap permet de tourner M0n0wall et donc pfSense, mais je n'ai pas l'impression que c'est fait pour y installer IPCop.

[ccnet]

Quant à pfSense: non, parce que c'est un pare-feu sans filtre http

Je "traduis", selon ce que je crois comprendre : un proxy avec squidguard et autres par exemple ?

En fait qu'il s'agisse de Pfsense ou d'Ipcop la situation est la même. Les deux utilisent le proxy Squid et par exemple squidguard et éventuellement un certain nombre d'addons (ou packages). Dans le cas d'ipcop ceux dont vous avez besoin sont dans la distribution et dans le cas de Pfsense il faut les ajouter après installation. C'est en réalité la seule différence. In fine pas de différence.

Au delà je ne suis pas partisan d'installer un proxy (et encore moins un filtre d'url) sur un firawall. J'ai déjà, et je ne suis pas le seul, déjà largement argumenté cette position. Mais ce n'est pas le sujet.

[jdh]

Attention pfrancois, tu vas te faire tacler par mon ami ccnet !!!!


D'un, pfSense est tout à fait semblable à Ipcop sur le plan des fonctionnalités. Certains disent même qu'il y a plus de fonctionnalités dans pfSense ... et je ne peux guère leur donner tort !

De deux, pfSense a des packages pour Squid et SquidGuard qui peuvent faire du contrôle blacklist de navigation SANS difficulté majeure.

De trois, ccnet a raison de dire, qu'à partir d'une certaine taille (disons 15/20 utilisateurs), le proxy (Squid+...) est mal placé sur un firewall.

De quatre, pfSense est aussi conçu pour être embarqué (comme IPCOP alias EMBCOP ?). (Peut-être même pfSense est mieux supporté par les plateformes embarqués ?)


Edit/ la faucheuse a frappé plus vite que moi !

[ccnet]

Nous devions être en train de taper (sur le clavier s'entend) simultanément.

[pfrancois]

la faucheuse a frappé plus vite que moi !

Vous avez l'air de bien vous connaître. Effectivement, pfSense peut faire plus que ce qu'il semblait à première vue sur leur site.

Je n'ai rien contre pfSense a priori (on pourrait croire que c'est moi qui l'ai implémenté vu mes initiales pf, mais ce n'est pas le cas), mais ici on est sur le forum IPCop, et j'ai déjà installé pas mal d'IPCop. S'il n'y a pas de raison impérieuse de changer, j'ai envie de rester sur une plateforme que je connais (y compris ses défauts).

Au delà je ne suis pas partisan d'installer un proxy (et encore moins un filtre d'url) sur un firawall. J'ai déjà, et je ne suis pas le seul, déjà largement argumenté cette position.

Tout dépend de ce qu'on veut. Le pare-feu n'est pas ma priorité, squid + squidguard oui. Le modem en amont bloque déjà pas mal de choses et fait office de pare-feu. Les seuls ports ouverts en entrée sur le modem-routeur seront ceux de ssh et https sur les ports spéciaux d'IPCop (222 et 445), ainsi que 80 qui sera redirigé vers la DMZ. Je ne crois pas que nous arrivions à 15 utilisateurs.

[ccnet]

Le pare-feu n'est pas ma priorité, squid + squidguard oui. Le modem en amont bloque déjà pas mal de choses et fait office de pare-feu. Les seuls ports ouverts en entrée sur le modem-routeur seront ceux de ssh et https sur les ports spéciaux d'IPCop (222 et 445), ainsi que 80 qui sera redirigé vers la DMZ.

J'espère pour vous que ce n'est pas une priorité. Il me semble fort difficile de se fier au pare feu de ces boitiers, freebox et autres. Une chose est certaine, avec ces ports ouverts vous allez, comme on dit "faire du monde". Avec le 445 ils vont faire la queue.

[pfrancois]

J'espère pour vous que ce n'est pas une priorité. Il me semble fort difficile de se fier au pare feu de ces boitiers, freebox et autres.

C'est un modem-routeur assez consistant, le Vigor 2820...

Une chose est certaine, avec ces ports ouverts vous allez, comme on dit "faire du monde". Avec le 445 ils vont faire la queue.

Pas de panique: en réalité, le port du modem-routeur que j'ai ouvert est le 4445, qui est dévié vers le 445 de l'interface rouge d'IPCop. D'ailleurs ici, le 445 est coupé par beaucoup de FAI.