UrlFilter pour IpCop V2.0

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

UrlFilter pour IpCop V2.0

Messagepar endless-desire » 29 Sep 2011 15:29

Bonjour,
Je viens d'installer la nouvelle version d'Ipcop 2.0 mais apparemment Urlfilter 1.9 n'est pas compatible .

Je voudrais savoir si il y'a un autre filtre pour cette nouvelle version.

Merci
endless-desire
Matelot
Matelot
 
Messages: 5
Inscrit le: 29 Sep 2011 14:39

Re: UrlFilter pour IpCop V2.0

Messagepar fleib » 29 Sep 2011 18:04

:?: :?: :?:

Urlfilter n'est pas inclus dans le version 2.0, on m'aurait menti?
Il n'est pas de vent favorable pour celui qui ne sait pas où il va
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Re: UrlFilter pour IpCop V2.0

Messagepar ccnet » 29 Sep 2011 18:06

Si vous avez besoin (ce qui est légitime) d'un filtrage de contenu web alors installez un vrai proxy.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: UrlFilter pour IpCop V2.0

Messagepar endless-desire » 29 Sep 2011 19:19

ccnet a écrit:Si vous avez besoin (ce qui est légitime) d'un filtrage de contenu web alors installez un vrai proxy.


Voulez vous dire que le filtrage n'est plus possible pour V2.0 parce que ça marche très bien avec la V1.4.
endless-desire
Matelot
Matelot
 
Messages: 5
Inscrit le: 29 Sep 2011 14:39

Re: UrlFilter pour IpCop V2.0

Messagepar jdh » 29 Sep 2011 21:09

Ccnet, moi et d'autres recommandent de NE PAS placer le proxy sur le firewall.

Ils nous semblent aisé de comprendre que le job d'un proxy N'est PAS le même job qu'un firewall.
Les ressources nécessaires à chaque job sont TRES différentes !
- un proxy nécessite du disque, un firewall n'en a pas besoin (hors les logs)
- un proxy n'a pas forcément besoin de répondre dans un temps court, un firewall si (respect de timing dans les sessions) !
- un proxy peut avoir besoin d'authentification, un firewall effectue des contrôles "basique" (adresse MAC, adresse IP) !
- un proxy a des besoins mémoire énaurme (!) (proportionnel à la taille du cache), un firewall a un besoin mémoire fonction du nombre de transactions (plus limité).
- un proxy analyse l'intérieur du flux et filtre selon l'url (SquidGuard), un firewall filtre les sessions (sur un port) et les suit.
- un proxy consomme du disque, de la mémoire, du cpu, un firewall n'a pas de besoins excessif en cpu et mémoire.

Nous considérons qu'à partir de 10 utilisateurs environ, un proxy dédié est nécessaire.
Cela permet aussi d'y installer l'authentification, les logs et la visualisation, le scan antivirus éventuellement, ...

Ce n'est donc pas un mal de revoir son organisation en terme de filtrage applicatif (proxy http, proxy smtp) à l'occasion de la migration !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: UrlFilter pour IpCop V2.0

Messagepar coco69 » 29 Sep 2011 21:44

Bonjour,

Vous pouvez utiliser COP+, qui est un Addon DANSGUARDIAN :wink:

il est un peu plus complexe à parametrer que URLFilter , mais permet d'obtenir les mêmes filtrages.

Ci joint l'adresse:
http://home.earthlink.net/~copplus/index.html

Cordialement.
coco69
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 11 Mai 2008 16:49

Re: UrlFilter pour IpCop V2.0

Messagepar jdh » 29 Sep 2011 22:26

Proposer une alternative, pourquoi pas !
Indiquer une alternative ... opérationnelle sur la v2.0, ce serait mieux !
(C'était quand même la question !)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: UrlFilter pour IpCop V2.0

Messagepar endless-desire » 30 Sep 2011 14:11

Merci jdh pour votre explication détaillée des différences, j'en suis très reconnaissant sauf que pour l'instant je travail sur d'autres projets (DLP, NAC...) je peux pas revoir la structure mais ça sera planifié pour un future proche.

Coco69 merci pour l'aide ça a l'air de répondre à mes attentent.
endless-desire
Matelot
Matelot
 
Messages: 5
Inscrit le: 29 Sep 2011 14:39

Re: UrlFilter pour IpCop V2.0

Messagepar coco69 » 30 Sep 2011 20:39

Bonjour,

jdh a écrit:Proposer une alternative, pourquoi pas !
Indiquer une alternative ... opérationnelle sur la v2.0, ce serait mieux !
(C'était quand même la question !)



? ? ? ? ? ?


Cop+ fonctionne sur la V2.0:

" ...Cop+ 3.1.0 addon package is now available. Built for IPCop 1.4.21, but should work on 1.4.15 or later, including the beta ipcop 1.9.16 and later. Download it from here ...."

Cordialement.
coco69
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 11 Mai 2008 16:49

Re: UrlFilter pour IpCop V2.0

Messagepar jdh » 30 Sep 2011 21:03

Sur la première page du site Cop+ (en taille décroissante) :
Cop+ (Copplus) Home
Unofficial Dansguardian addon bundle for IPCop 1.4
This addon has NOT been approved or checked out by the IPCop development team. It may break something on your Firewall, especially if you have already modified IPCop in any way. Properly warned ye be...
Now Cop+ also works on the beta versions of IPCop 1.9.x


Il semble qu'effectivement il puisse fonctionner (enfin il fonctionne sur la v1.9).
L'avez vous testé en v2 ?
Il eut été intéressant d'indiquer cela ! Ou à défaut, informer que vous ignorez.

Néanmoins, je vois 2 raisons d'éviter tant urlfilter que cop+ :
- un proxy n'est pas à sa place sur un firewall (raison MAJEURE),
- pour cop+, "this addon has NOT been approved" semble clair,
- pour urlfilter, l'addon semble non fonctionnel (non applicable ?).


NB : Je ne suis pas là pour faire ni la promotion ni la démolition d'Ipcop : j'installe depuis 5 ans des pfSense avec grande satisfaction (et sans sortir de l'usage normal d'un firewall). Et j'ai donné ma perception d'Ipcop versus pfSense (même si le tour de la v2.0 n'a pas duré longtemps ~1h à 2h).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: UrlFilter pour IpCop V2.0

Messagepar Franky05 » 01 Oct 2011 09:08

Bonjour à tous,

"Un proxy n'a pas sa place sur un firewall", vu le nombre de fois où cette très juste remarque apparaît dans les posts, je pense que celle-ci devrait avoir sa place dans la newbie kit IPCop....Je veux bien y participer s'y quelqu'un me "corrige"...

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Re: UrlFilter pour IpCop V2.0

Messagepar dsbsystem » 02 Oct 2011 15:55

Bonjour,

C'est quand même bizarre de constater que 90% des TPE/MPE dans lesquelles nous opérons utilisent des firewall proxy de type Astaro et autres Cyberoam munis de processeurs bien moins puissants que certains Pentium modernes.

Allez leur faire comprendre qu'avec leur budget limité il faut un boitier chose et un boitier machin chose ...

Si je suis parfaitement d'accord avec le principe de la séparation de pouvoir Firewall Proxy, je ne le suis plus à partir de 10 utilisateurs mais bien au delà ...

C'est en tout cas une bonne chose que Ipcop évolue, j'espère tout de mêle que UrlFilter sera modifié pour fonctionne en V2.
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine

Re: UrlFilter pour IpCop V2.0

Messagepar jdh » 02 Oct 2011 18:06

Au delà du débat sur 10 ou 15 ou 20 utilisateurs, ce qui est à comprendre, c'est la DIFFERENCE de fonctionnement et de prérequis entre un firewall et un proxy.

Une machine qui a le processeur, la mémoire, le système disque adaptés à un proxy peut largement faire firewall. Et l'inverse est faux !
Mais faire 2 choses différentes en même temps peut poser problème :
là où le respect du timing dans l'échange d'une session TCP, il y a risque si le système a aussi autre chose à faire !

C'est comme la virtualisation, où on vous explique qu'un serveur utilise au maximum 10% du cpu ou du disque.
Comment comprendre qu'en augmentant la mémoire, on peut faire tourner 10 machines virtuelles ?

En résumé, parler de 10 utilisateurs, sans parler de l'intensité de l'utilisation n'a guère de sens !
Ce qui compte, c'est la charge de traitement !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: UrlFilter pour IpCop V2.0

Messagepar Titofe » 05 Oct 2011 07:36

dsbsystem a écrit:Allez leur faire comprendre qu'avec leur budget limité il faut un boitier chose et un boitier machin chose ...
Eh oui, sans l'effet €, le message passerait mieux.
Mais malheureusement, dans bien des domaine l'argent passe avant le reste ...
Une erreur ne devient une faute que lorsqu'on ne veut pas en démordre
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité