Passerelles de controle de connexion internet dans un réseau MPLS - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 14-09-2006 à 20:43:51
ReplyMarsh Posté le 14-09-2006 à 20:53:43
l0ky a écrit : Utilisation d'un proxy transparent. |
Donc une passerelle iptable ou ipcop et c'est bon ?
Marsh Posté le 15-09-2006 à 10:47:40
l0ky a écrit : passerelle iptables + un squid |
Heu je me demande l'interet de mettre squid. Pour moi il s'agit de d'interdire en output l'acces à certains port en fonction de l'ip de départ (ou plus exactement de les authoriser pour certaines ip et tout interdire le reste).
Tu peux m'éclairer ?
Marsh Posté le 15-09-2006 à 12:37:14
ReplyMarsh Posté le 15-09-2006 à 13:27:58
l0ky a écrit : oui nan rien, iptables suffit je sais pas pourquoi j'ai voulut foutre un proxy |
Marsh Posté le 15-09-2006 à 17:51:55
tuxbleu a écrit : Heu je me demande l'interet de mettre squid. Pour moi il s'agit de d'interdire en output l'acces à certains port en fonction de l'ip de départ (ou plus exactement de les authoriser pour certaines ip et tout interdire le reste). |
et quid du spoofing ?
Marsh Posté le 16-09-2006 à 23:50:16
ReplyMarsh Posté le 18-09-2006 à 09:17:48
ReplyMarsh Posté le 18-09-2006 à 11:28:36
ReplyMarsh Posté le 18-09-2006 à 11:30:25
BMenez a écrit : C'est géré au niveau des switchs ça... |
pas de base non ?
Marsh Posté le 18-09-2006 à 13:13:57
Ah non, pas de base mais s'il veut un contrer les petits malins comme toi, il peut utiliser des switchs manageables et forcer une IP par port (après si les gars commencent à nater les connexions ça va pas le faire très longtemps ) .
Marsh Posté le 18-09-2006 à 13:50:38
BMenez a écrit : Ah non, pas de base mais s'il veut un contrer les petits malins comme toi, il peut utiliser des switchs manageables et forcer une IP par port (après si les gars commencent à nater les connexions ça va pas le faire très longtemps ) . |
mais je crois qu'il y a une fonction (notamment sur cisco) pour éviter l'arp cache poisonning
Marsh Posté le 18-09-2006 à 14:38:39
Faut pas m'agresser comme ca
Non mais j'ai bien noté ta remarque
Juste que dans ma boite, ya pas de petit malin, ya juste des fumiste qui surfent toute la journée, et faut juste que je leur en fasse passer l'envie.
Bon si je suis pas trop con, je vais pas m'auto-sensurer
Marsh Posté le 18-09-2006 à 15:59:31
tuxbleu a écrit : |
oui il faut tjs se garder une porte de secours
Marsh Posté le 18-09-2006 à 20:18:23
Tomate a écrit : oui il faut tjs se garder une porte de secours |
Moi la porte elle va être grande ouverte, oui !
Marsh Posté le 19-09-2006 à 09:06:00
ReplyMarsh Posté le 19-09-2006 à 13:46:51
memaster a écrit : l'admin = dieu |
Heu, "monseigneur", ca me suffit
Marsh Posté le 27-09-2006 à 15:22:18
Bon, je reviens vers vous.
J'ai vu avec mon FAI MPLS, ils peuvent configurer le pare-feu comme je le souhaite, en entrée comme en sortie. Donc bon en gros, si vais définir les Ip qui ont accès à tel ou tel port, et je sens que le 80 va être mon principal centre d'interet (oui, oui, le 445 aussi...)
Par contre, pas de logs...
Je me tatais à lui demander de tout interdire, et de faire passer tout le monde par un proxy (qui lui ne serait pas vérouillé of course).
Et c'est là que j'ai besoin de vous :
Si je met une machine Ipcop, puis-je faire passer par ce proxy toutes les connexions (http - bien sur, inutile de répondre, mais quand est-il des connexions ftp, ssh, pop3, smtp...)
Pour les clients mail, j'ai vu qu'on devait (pouvait) configurer le proxy http (pourtant, c'est pas du http ).
Petite dernière question (subsidiaire) : Puis-je faire une authentification par login/mdp plutot que ip pour le proxy ?
Marsh Posté le 27-09-2006 à 15:26:45
tu peux faire un proxy transparent : tout les flux sont redirigés sur le port du proxy automatiquement
bien sûr avec login/pass c'est possible
après, pour ftp, smtp etc. il faut voir si les logiciels supportent le proxy
Marsh Posté le 27-09-2006 à 21:20:48
Tomate a écrit : tu peux faire un proxy transparent : tout les flux sont redirigés sur le port du proxy automatiquement |
Nan, je le ferais pas transparant, car pour ca il faudrait que je demande à mon FAI de rediriger le flux de toutes les connexions vers mon proxy, et ca ca me coute des sous (un peu trop à mon gout).
Par contre ca me coute rien de lui demander de tout bloquer en sortie.
Ok pour le login/mdp
Juste par curiosité, on peut pas définir 2 passerelles sur un pc ? Me semble pas trop normal comme concept, m'enfin on sait jamais...
Marsh Posté le 27-09-2006 à 21:37:29
Tomate a écrit : tu peux faire un proxy transparent : tout les flux sont redirigés sur le port du proxy automatiquement |
si il y a un login/pass spa transparent
Marsh Posté le 28-09-2006 à 09:05:37
black_lord a écrit : si il y a un login/pass spa transparent |
aucun rapport
Marsh Posté le 28-09-2006 à 13:06:25
Tomate a écrit : aucun rapport |
La "transparence" (enfin non transparance), c'est le fait de devoir définir les paramètres du proxy dans ton navigateur/client mail, etc...
Isn't it ?
Marsh Posté le 28-09-2006 à 13:11:38
tuxbleu a écrit : La "transparence" (enfin non transparance), c'est le fait de devoir définir les paramètres du proxy dans ton navigateur/client mail, etc... |
en effet
mot de passe ou pas, c'est une autre histoire
Marsh Posté le 28-09-2006 à 13:17:36
http://www.nufw.org/
nufw pourrait repondre a tes besoins, je ne l'ai jamais testé mais ça à l'air très puissant ... bon c'est sur que tes utilisateurs vont vraiment te detester apres ^^
Marsh Posté le 28-09-2006 à 13:39:26
Tomate a écrit : tu peux faire un proxy transparent : tout les flux sont redirigés sur le port du proxy automatiquement |
Tomate a écrit : aucun rapport |
Si ça a un rapport : tu peux pas.. du moins avec squid
(testé et éprouvé)
Marsh Posté le 28-09-2006 à 13:40:22
black_lord a écrit : Si ça a un rapport : tu peux pas.. du moins avec squid |
Tu peux pas faire quoi avec Squid ?
Marsh Posté le 28-09-2006 à 13:44:56
le mettre en proxy transparent avec une authentification
Marsh Posté le 28-09-2006 à 13:58:43
black_lord a écrit : le mettre en proxy transparent avec une authentification |
Ca vous choque pas d'avoir tout ça dans la même phrase ?
Marsh Posté le 28-09-2006 à 14:03:22
Zzozo a écrit : Ca vous choque pas d'avoir tout ça dans la même phrase ? |
moi si, mais pas tomate
Marsh Posté le 28-09-2006 à 14:22:05
squid stout pourrite
Marsh Posté le 28-09-2006 à 14:29:51
Accessoirement, s'il y a une authentification, on est bien d'accord que c'est plus transparent, non ?
Sauf à installer une solution proprio et déployer qqchose sur chaque client, mais là, même si c'est transparent pour l'utilisateur, ça l'est bcp moins pour les admins réseau et système
Sans parler du coût ...
Marsh Posté le 28-09-2006 à 14:29:53
Raconterais-je une connerie? SNMP pour tout piloter sans quitter son bureau climatisé (matériel oblige)
Marsh Posté le 28-09-2006 à 14:36:03
Zzozo a écrit : Accessoirement, s'il y a une authentification, on est bien d'accord que c'est plus transparent, non ? |
pour moi transparent c'est pas besoin de conf sur les clients
l'auth ou non c'est une question de sécu
Marsh Posté le 28-09-2006 à 14:36:18
thierryR a écrit : Raconterais-je une connerie? SNMP pour tout piloter sans quitter son bureau climatisé (matériel oblige) |
oui
Marsh Posté le 28-09-2006 à 14:41:22
mmm ... ou alors, y'a ptet moyen de faire qqchose niveau "authentification", en combinant DHCP, Squid, et ebtables/iptables ... ça me rappelle un truc
Genre, tu forces l'utilisateur à s'authentifier lors de sa première connexion réseau de la journée, sinon il reste avec une adresse IP (privée en général) dans un "bac à sable", à partir duquel les services accessibles sont très limités.
S'il s'authentifie correctement, il se voit attribuer une adresse IP différente et surtout "utilisable" qui lui donne l'accès à différents services et réseaux, et notamment le net. Une fois qu'il a été authentifié pour son accès réseau, il l'est aussi de façon implicite pour d'autres services comme Squid, qui peut du coup être configuré de façon (plus ou moins) transparente (y'a des limites qd même).
C'est un schéma du type "1 user authentifié = 1 adresse IP" où chaque user est responsable de tout ce qui se passe avec son adresse IP
Marsh Posté le 28-09-2006 à 14:43:17
SNMP sert à vérifier l'état d'équipements pas à les administrer
Marsh Posté le 14-09-2006 à 20:06:06
Amis linuxien bonjour,
Dans ma boite, on va mettre un VPN MPLS sur tous nos sites.
Parrallèlement à cette mise en place, une problématique m'est posée : "pouvoir controler (interdire ou authoriser) l'accès à "internet" selon l'utilisateur. "
Entendre par la que certains utilisateurs auront droit à la navigation mais pas dautre, certain pouront recevoir des mail, etc...
Ma question est la suivante.
J'aimerais faire cela :
Je vais demander à mon FAI de rediriger tout le trafic qui sort de mon LAN vers une IP en particulier.
Cet Ip sera celle d'une machine que je vais placer devant un modem Adsl.
J'aimerais que cette machine soit "transparante" pour les users, je pense la faire à base d'Iptable ou d'ipcop.
Ca vous parait possible ?
Ou alors suis-je obligé de demander à mon FAI de bloquer toutes les sorties et vers le net et moi je devrais configurer chaque poste utilisateur pour qu'il utilise un proxy pour chaque appli (web, outlook, etc...)
---------------
Mon topic de vente - Mon feed-back