Je cherche à sécuriser un réseau avec un active directory sous 2003 serveur et clients en DHCP.
J'ai pas envie d'investir dans un firewall hard, je me retourne donc vers des distribs spécialisées sous Linux, mais j'hésite :
Clarckconnect ?
Ipcop ?
Mandrake MNF ?

Par ailleurs, un firewall sous linux réclame 2 cartes réseaux. L'une de ces cartes peut avoir son IP dans la plage de mon DHCP (je lui attribue une IP fixe) mais la seconde carte, celle qui filtre les entrées, elle a quelle IP ? je précise que cette seconde carte ne sort pas sur Internet mais sur un réseau privé.

Merci pour le coup de main.

y'a SME aussi, mais sache que ce sont des distribs bien faites mais aussi très vérouillées, mm en admin tu fais pas ce que tu veux.
ipcop vraiment orienté proxy/parefeu et pas mal pour les noobs!
etant donné que ton firewall par principe joint 2 reseaux, donc soit il va faire NAT soit routage, par consequent ta 2eme carte aura une ip en concordance avec ce 2eme reseau privé.

Tu veux dire que les 2 cartes peuvent être dans la même plage d'IP ?

Le 11 novembre 2004 - 18 h 18, breizman a écrit : Tu veux dire que les 2 cartes peuvent être dans la même plage d'IP ?

bin elle peuvent si les plages ne se confondent pas

je sais pas si je m'exprime bien lol ce que je veux dire c que tout va dépendre de tes regles de pare-feu et de proxy, tu peux tres bien mettre la plage 10.0.0.10-20 sur une carte et 10.0.0.30-40 sur une autre... ca depends forcement de la configuration de l'environnement

et avec ISA ?

Le 11 novembre 2004 - 21 h 44, Loading a écrit : je sais pas si je m'exprime bien lol ce que je veux dire c que tout va dépendre de tes regles de pare-feu et de proxy, tu peux tres bien mettre la plage 10.0.0.10-20 sur une carte et 10.0.0.30-40 sur une autre... ca depends forcement de la configuration de l'environnement et avec ISA ?

Effectivement, je viens de l'installer et je vais tester.
Pour les plages, je n'ai qu'une seule plage à ma disposition (10.0.0.1 à 255, mon routeur est sur une autre plage), d'où le problème.
Je te tiens au jus des résultats si tu veux.
Merci du coup de main.
Mais je vais passer toutes les distribs en revue pour voir : MNF, ClarckConnect, etc..

Je vais installer 3 cartes réseaux, couper en deux mes plages IP et utiliser Clarckconnect, ça devrait le faire, à suivre...

Pour le filtrage des pages web, j'aime bien Censornet et pour le firewall, Ipcop va très bien.
Pour Censornet, possibilité de créer un bridge avec les 2 cartes réseaux, donc pas de soucis avec mes plages d'adresses.

Tout le monde s'en fou, mais c'est pas grave

Ben si tu passes toutes ces distribs en revue et que tu laisses des traces sur le forum, c'est jamais perdu ..

Le 16 novembre 2004 - 09 h 36, iraysyvalo a écrit : Ben si tu passes toutes ces distribs en revue et que tu laisses des traces sur le forum, c'est jamais perdu ..

+1

d'autant k'il faudrait faire un mix avec l'otre topic, meme s'il a bien dévié

Consornet me sert donc comme serveur Proxy. Je peux banir des sites, interdire letéléchargement de MP3 etc... il est complet pour ça, et il a l'énorme avantage d'importer automatiquement tous les comptes d'ordinateurs et d'utilisateurs depuis l'active directory de 2003 serveur. Une petite astuce au passage pour ceux qui voudraient essayer : avant l'import depuis l'AD, on doit rentrer l'IP du serveur, son nom, le nom du domaine mais aussi le conteneur où se trouve le compte administrateur. Et là, si ce dernier se trouve dans un sous conteneur, difficile d'aller le chercher. Il suffit de le déplacer dans le conteneur Users (conteneur par défaut à l'install de l'AD) et l'import se fait correctement. Il faut bien sur replacer le compte administrateur dans son conteneur après la manip et effectuer une réplication immédiate si un pseudo BDC se trouve sur le domaine. Une fois cela effectuer, dans la console de Consornet, on voit tous les ordinateurs et utilisateurs, ça fait gagner un temps fou. Ensuite, on gère les diverses autorisations. L'avantage d'avoir les stations et les utilisateurs différenciés, c'est qu'un utilisateur peut aller sur n'importe quelle machine et se voit systématiquement appliquer ses règles. Consornet a aussi l'avantage d'intégrer l'authentification via l'AD. Pas besoin de recréer des comptes pour le proxy. Bien sur, ne pas oublier d'ajouter le proxy dans IE (http://10.0.0..... sur le port 8080).
Reste que la consultation des statistiques sous consornet n'est pas top. Je teste actuellement Web Control surf filter ( http://www.surfcontrol.com/ ), il semble bien remplir son rôle de mouchard. Reste que sa configuration n'est pas très intuitive. Si vous avez des idées sur un produit semblable, je suis preneur.

Pour le firewall, je scrute toujours les diverses distribs et aussi ISA serveur 2004 (démo 120 jours dispo en téléchargement chez microsoft).

un tres tres bon bon proxy sous linux : Squid .. qui est aussi valable sous windows avec les versions 2.5 et 3.0 stable...

sinon AD crypte les données entre serveur controleur de domaine.. que tu sois en LAN ou en WAN !!!


ps: salut breizman

Bandit 600 powaaaaa

Le 24 novembre 2004 - 13 h 22, djalex a écrit : un tres tres bon bon proxy sous linux : Squid .. qui est aussi valable sous windows avec les versions 2.5 et 3.0 stable... sinon AD crypte les données entre serveur controleur de domaine.. que tu sois en LAN ou en WAN !!! ps: salut breizman Bandit 600 powaaaaa

Je reste sur Censornet mais maintenant, j'ai une autre question. Sur mon réseau, dans la config de connexion IE, j'écris une url de script automatique. Je dois donc supprimer ce script et dans les paramètre de proxy, indiquer l'IP et le port de mon Censornet. Là c'est ok. Mais dans mon serveur Censornet, faut bien que je reporte quelque part ce script automatique pour que mes users aillent sur le net, et je trouve pas

Au fait, j'ai rien compris a ton probleme

Je recommence.

Actuellement sous IE, dans mes paramètres de réseau local, j'utilise un script de configuration automatique pour aller sur le net. Vu que je vais désormais passer par l'IP du serveur Linux Censornet, je n'utilise plus ce script. Mais faut bin que je rentre ce script de conf dans le serveur Censornet pour accéder au web, sinon pas de web, c'est mieux comme ça ?
Ma machine Censornet va me servir de passerelle en fait, mais je ne vois pas où spécifier ce script !!

Ce que je veux faire est décrit sur ce lien : http://www.kerio.com/manual/kwf/en/ch04s05.html

bin ou tu veux du moment que les machines y accedent ...

Le 24 novembre 2004 - 21 h 05, Loading a écrit : bin ou tu veux du moment que les machines y accedent ...

Ah vi où je veux, merchi Loading, t'es un vrai hot-liner toa
Mais j'ai pas d'idée où mettre mon proxy parent ! (je crois que ça s'appelle comme ça)

c clair, c'est loin d'etre inutile... je suis le topic avec attention

J'avance tout doucement, j'essaie de faire du chainage de proxy, j'vous tiens au courant.

Mandrake Multi Network Firewall, deuxième

Sortie depuis le 17 novembre, la version 2 en Beta.


http://www.mandrakelinux.com/en/mnf2-beta.php3

...........
........
Longuement testée ...... je retourne à IPCop pour l'instant.


C'est vraiment une Beta, j'ai de gros ennuis avec Xfree et les pilotes pour ma vieille Geforce 2. Les ennuis arrivent dès l'install.
Sans serveur X je ne peux pas tout tester.
L'administration distante fonctionne bien.

Si vous ne voulez pas mettre en ligne de services, IPcop est tres bien.
Ou alors , il vous faudra monter de la traduction de ports et une machine supplémentaire pour heberger les services annexes dans une DMZ.

Par contre si vous voulez monter votre serveur web, serveur smtp etc ... pour votre petit nom de domaine sans investir de trop, La mandrake MNF intègre tout ca de série (sans les jantes alliage ) c'est un bon produit a mon avis.

Perso je la place entre la distrib. pure Routeur/firewall et une distribution classique Linux.