AIDE Filtrage/blocage serveur squid/ipcop

[A3chy6]

Bonjour,

Je doit mettre en place un serveur squid/ipcop ( 3 cartes réseau zone rouge/orange/verte ) sur un domaine existant.

Je pensais configurer la zone rouge ( arrivé du net ) en 192.168.0.xx ( sur une livebox pro ) et la zone verte ( sortie filtrée ) en 192.168.1.1

Dans le domaine se trouve un serveur en Windows 2003 serveur small business, ayant pour adresse IP 192.168.1.2, et comme service un serveur DHCP, DNS avec redirecteur, serveur de fichiers et d'impression + un exchange.

Le serveur ipcop doit servir a filtrer/bloquer l'accès a internet tout en laissant outlook 2003/2007 et skype y accéder. ( il me semble que les ports utilisés sont différents du 80 ).

Le filtrage/blocage utiliserait l'adresse MAC de la carte réseau des postes clients.

Maintenant voilà mon problème :

Je suis obliger de conserver le serveur DNS et DHCP du serveur, notamment pour l'ouverture de session des postes clients.

Les postes clients avait jusqu'alors internet via le serveur qui utilisait des redirecteurs vers les DNS d'orange.

Je pense qu'utiliser un redirecteur vers le serveur ipcop serait inutile car tout passerais pas l'adresse MAC du serveur rendant impossible le filtrage/blocage.

Je pensais configurer le navigateur ( ici IE7/8 ) avec les options du proxy pour qu'il aille directement voir sur le serveur ipcop.

Pareil pour skype. Quand à outlook je ne sais pas s'il travaille avec IE ou s'il faut le configurer aussi.

Vous pensez que c'est une bonne solution ??

Vous avez une idée ou autre chose à me proposer ??

Merci d'avance !!

[Serom]

Alors attend résumons tout.

Tu as une arrivé d'Internet sur une Livebox pro, et derrière tout ton réseau personnel. Pour éviter une solution matériel tu passe par un serveur ayant 3 cartes réseaux:

- la zone rouge ou il y a internet

- La zone verte ton LAN

- Et moi je vais dire la zone Orange la DMZ.

Ce que tu fais c'est que ton proxy doit appartenir à la DMZ ainsi que ton DNS. Tous les autres services (exchange, serveur d'impression...) dans le LAN. Maintenant dans tes options internet de windows de tes PC clients, tu mets ton proxy, et toutes les apply qui fonctionne par le réseau passeront par le proxy.

Pour finir tu mets tes règles dans IPCOP (tes ACL) sachant que la zone rouge est dangereuse, dans la DMZ il faut bien protéger les serveurs et dans le LAN, si t'as des gens avec des pc portables, qu'ils rammenent chez eux, il faut aussi le sécuriser.

Cependant au lieux de t'embeter avec un pc pour faire parefeu je te conseil une solution matériel. Tu dois avoir une petite infrastructure, donc un petit Cisco ASA à 400€ ferai l'affaire. Quand au proxy tu le fais sur une machine toujours avec squid.

L'avantage du parefeu matériel c'est que ta pas les failles logiciel dû aux OS

[A3chy6]

Ce que tu fais c'est que ton proxy doit appartenir à la DMZ ainsi que ton DNS. Tous les autres services (exchange, serveur d'impression...) dans le LAN.

Si tu pouvais être un peu plus clair sur ce passage la j'ai peur de m'embrouiller.

Par rapport au postes il y en as une trentaine, mais pas de réseau wifi, que du filiaire.

Pour le proxy je comptais utiliser seulement le zone rouge et verte, la troisième étant prévu au cas ou, voir pitet pour un serveur de mise à jour logiciel ( appliquer les maj à tous les postes simultanément )

J'ai effectuer quelques tests aujourd'hui et le fait de spécifier l'adresse ip dans les paramètres réseau du poste client empêche de rejoindre le domaine, je suis obliger de passer par le DNS du windows 2003 serveur pour l'ouverture de session des postes clients

J'avais configurer comme ca:

IP: 192.168.1.102

Masque: 255.255.255.0

DNS: 192.168.1.2 ( ip du 2003 serveur ) et ca ne voulais pas se connecter au domaine, et pas de net en session locale.

En rajoutant la passerelle ( 192.168.1.2 ) aucun changement

En utilisant le DHCP du serveur aucun problème.

Merci en tout cas pour les précisions que tu m'as apporté.

[Serom]

Et bien tout simplement tu ajoute ton serveur proxy sur la partie Orange de ton réseau avec ton serveur DNS car ces derniers doivent être joignable de l'exterieur. De même pour exchange.

Le reste, c'est à dire serveur de fichier, serveur d'impression, normalement ne doivent pas être joignable depuis l'exterieur donc tu les laisse dans le LAN.

Il faut absolument que du fasse une distinction entre serveur joignable depuis l'exterieur au autre qui n'ont pas besoin d'être joints car tu n'appliqueras pas les même règles de sécurité. C'est à ça que sert la DMZ.

Mais je suis convaincu que tu ferais du meilleur travail avec un parefeu matériel ^^