@thonik:

ClarkConnect Community est bon comme antispam et antivirus de mail mais je ne vois pas dans les "features" (http://www.clarkconnect.com/info/compare.php) qu'il gère aussi antivirus web.

Je n'ai jamais dit qu'il fallait l'utiliser pour cela ! Par contre Squid peut le faire en effet. Mais pas seul.

Or IpCop, même si j'ai bien compris qu'il n'étais pas à la base prévu pour ce que je veux faire, comprend un addon assez intéressant "CopFilter" qui comprend notamment SpamAssassin, ClamAV, + havp comme proxy antivirus… En bref, il comprend ce que j'ai besoin... et je ne pense pas que ClarckConnect comprenne tout ça...

Moi non plus. Si tel était le cas je l'aurais dit. Le moteur SMTP de Copfilter est beaucoup trop faible. Copfilter s'appuie essentiellement sur Spamassassin pour détecter le spam. Or la réalité montre qu'un énorme volume de spams est détectable sans utiliser spamassassin mais avec un bon relais smtp (Postfix). Celui ci est capable de faire un certain nombre de vérifications portant sur l'émetteur du mail, son respect des rfc dans la conduite d'une session smtp et par ailleurs il possède des capacités de filtrage beaucoup plus efficace (mémoire , CPU). Spamassassin est utile mais après tout ces tests, dès lors qu'il s'agit d'analyser le contenu du mail. Mais beaucoup d'autres facteurs que Spamassassin ne gère pas entrent en ligne de compte. Spamassassin est en fait la dernière étape du filtrage lorsque la mail a passé tous les autres tests. La vérification d'un MX correct pour un expéditeur est un test fiable à 100% alors que Spamassassin évalue la probabilité de spam. Fondamentalement différent. Il est indispensable de rejeter, dans la transaction smtp, les mails qui sont manifestement des spams. De nombreux spammeurs n'y reviennent pas lorsque leur connexion smtp est rejetée. Avec Spamassassin la connexion doit être accepté et le mail reçu avant de pouvoir commencer l'évaluation. Les spammeurs reviendront puisque vous acceptez leurs mails !
Je ne développe pas plus, il faut revoir votre conception du filtrage antispam. En fait la solution ne peux reposer sur Spamassassin seul. Pour l'avoir testé en maquette, en vraie grandeur, je sais les problèmes que cela pose.
Mais il y a aussi des problèmes plus complexes en suspend. Quelle politique face aux expéditeurs dont les enregistrements DNS (PTR en particulier) ne sont pas corrects ? Spammeurs ? Légitimes ? Que décidez vous ? Il y a les deux !

Si IpCop n'est pas la distribution "ideale", je ne pense pas que ClarckConnect non plus vu qu'il ne possède pas toutes les fonctionnalités dont j'ai besoin. Alors quel choix me reste-il?

Concevoir une architecture correct. Voilà le choix. Il n'y a pas de distribution idéale.
Les différents services dont vous avez besoin Proxy, AS-AV messagerie, reverse Proxy (comme beaucoup de monde d'ailleurs) ne doivent pas être sur la même machine physique et ne doivent pas être dans la même zone du réseau. Et par ailleurs ces machines ne doivent pas pouvoir communiquer entre elles.
Vous continuez à raisonner à l'envers en recherchant des logiciels ou des distributions. La sécurité c'est, avant de choisir des logiciel ou des produits, une question d'architecture. C'est encore autre chose avant l'architecture mais bref … L'architecture doit être par construction, par nature, résistante. Cela passe, entre autre, par une segmentation stricte des flux, le cloisonnement des services, l'ajustement des accès possibles au minimum nécessaire.

Les deux cartes LAN et OPT1 sont directement connectées sur un switch (non administrable) D-Link.

Configuration qui rend inutile la présence de OPT1 et supprime pratiquement toute sécurité.

La solution serait que vous regardiez et compreniez comment fonctionne DHCP et que vous optiez pour une connectivité normale.

A priori vous n'avez pas bien compris comment fonctionne un proxy et ce qu'il fait. On en bloque pas de ports sur un proxy. Regardez le site de Squid : www.squid-cache.org

@jdh:

C'est normal de ne pas trouver : syslog N'EST PAS fait pour cela !

OK, dommage.

@jdh:

(Il serait bien de répondre en ayant trouvé pourquoi !)

J'ai pas compris cette phrase  ???

@jdh:

Squid stocke ses logs dans …/access.log
Il faut agir au niveau de la rotation des logs.

Logrotate sait parfaitement transférer un fichier de log (par ssh) à ce moment.
J'ignore si logrotate est dispo sous pfSense ...

OK je regarde la rotation des logs et leur durée de conservation.

Nusa

=> Décret du 23 Janvier 2006. Loi 2006-64 de mémoire. Lutte contre le terrorisme.

Premièrement ssh c'est 22/tcp, alors pas de udp !

Ensuite si 192.168.0.23 est autorisé, cela me semble normal que 192.168.44.1 soit bloqué ! Non ?

Merci pour vos commentaires !

Oui c'est certain, Serveur 2003 complet ce serait mieux mais bon vu le prix d'une licence tant que j'en ai pas un besoin imperatif je vais investir ailleurs. ;-)

La nécessite absolue c'est de ne pas avoir de client à installer car je ne veux pas et ne peux pas sur un PC pro.
Tout le reste, c'est du domaine personnelle donc absolument pas nécessaire mais bien pratique quand même.

L'accès aux données via HTTPS est une fonctionnalité de base de Home server, c'est donc ce que je fais actuellement le but étant de bloquer tout le reste.

Bon je vais méditer un peu et revenir donner des nouvelles déjà sur le montage et l'installation de mon Firewall.

n'etant pas 100 % le meilleur je peut au moin aider !!!

pour les test je t'invite a utiliser UDP comme protocol…..

TCP a un system pour empecher la perte de paquet... mais quand tu utilise TCP avec openVPN il fait

TCP (openVPN) sur TPC (ton internet)

donc il y a de la redondance....(si l'un des 2 TCP n'est pas bien recu, il se renvoie.... et ca continue comme ca !!!)

pour moi mes 3 dernier ligne sont

Fri Feb 06 11:19:59 2009 C:\WINDOWS\system32\route.exe ADD 10.2.0.0 MASK 255.255.255.0 10.2.1.5
Fri Feb 06 11:19:59 2009 C:\WINDOWS\system32\route.exe ADD 10.2.1.0 MASK 255.255.255.0 10.2.1.5
Fri Feb 06 11:20:00 2009 Initialization Sequence Completed

et toi ces

Thu Nov 06 13:49:58 2008 us=971945 route ADD 192.168.1.0 MASK 255.255.255.0 10.0.8.5
Thu Nov 06 13:49:59 2008 us=43240 route ADD 10.0.8.0 MASK 255.255.255.0 10.0.8.5
Thu Nov 06 13:49:59 2008 us=128495 Initialization Sequence Completed

la seul difference ces le c:\windows\system32\ que tu n'a pas.

a tu fait de srecherche ???

sinon pour le reste (fichier config)

float
dev tun
dev-node OpenVpn                    theoriquement ces juste pour dire quel nom ton NIC doit avoir
proto tcp-client
remote thomasbruyere.dyndns.org 443    tu a juste l'address internet avec                                    l                                          e port ??? a tu l'ip a place
ping 10
persist-tun
persist-key
tls-client
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
#comp-lzo
pull
verb 4

le mien est

tls-client
client
dev tun
proto udp
tun-mtu 1500
remote 142.217.136.249 1194
#remote 10.0.3.254 1194
ca pmfca.crt
key arkys.key
cert arkys.crt
cipher AES-256-CBC
comp-lzo
verb 3
ns-cert-type server
float
route-method exe
route-delay 2
ping 10

il y a quelque difference. je crois pas que cela affecte completement ta connection (avis d'un pro si possible) mais cela sont des supposition. apres un 2ieme regard je crois que cela se situe au niveau de

route-method exe
route-delay 2

ces 2 commande que j'ai et toi non….. tu pourais les ajouter et tester svp !!!!

revien vite voir si ca marche

ces drole que je tombe la dessus j'ai effectivement la meme chose que toi a 1 point different : j'ai pris ton point 1

j'ai aussi 3 site…. A (ip dinamique qui change), B (ip fixe) et C (ip fixe)

A et B et C sont avec des PFSense.

mon point fort (ou j'ai la meilleur bande passante) ces le B

mon but. me connecter a 1 place (donc 1 OpenVPN et 1 certifica, pas 2) pour me connecter partout.

j'ai fait des connection IPSec (ou tu peut en faire OpenVPN) entre tes site A-B-C mais pas connecter en triangle, plutot comme suit

A se connecter a B
C se connecte a B

je place mon OpenVPN a B, je fait juste le NAT et firewall (redirection) et tout est configurer !!!!!

**** Ici B est "serveur", A et C "client" de B. Ensuite me suffit il de faire une règle de routage sur B pour que A puisse parler a C ? *****

a ta question je repond : oui

en centralisant ta connection (si elle supporte toute le trafic) ca t'evite de cree 2-3 certifica et de faire un triangle.

dison que ta solution 1 est la meme que j'ai utiliser et elle fonctionne a MERVEILLE !!!!!

au debut moi avec OpenVPN = WTF is that…..

apres quelque lecture : http://openvpn.net/

et bien je l'ai installer, fait les certifica et fait marcher en..... 1 jours.....

ces vraiment simple et facile.

la seul difficulter que j'ai eu ces de les incorporer a PFSense (et ca ces parce que il y avais pas de tuto la dessus)

tant qu'a moi. OpenVPN FTW !!!!

Hello,

Ah oui !
L'idée est très intéressante !
Je vais chercher de mon côté…

MERCI

Merci beaucoup,

En effet j'avais 2 fois le mot accès dans les descriptions.

Maintenant la bascule s'effectue correctement et mes règles sont répliquées.

Question subsidiaire : est-ce que ce mécanisme permet aussi la synchronisation des configurations de squid et squidguard ? Est-ce que ces paramètres s'ajoutent lorsque l'on installe les packages ?

Bonjour Ccnet,

Désolé pour ne pas avoir été trés clair..

Mais le pdf que vous m'avez linké , répond à mes attentes

Merci

Cordialement

Ce fil reprend les "terribles et usuelles" questions :

j'ai un proxy, comment configurer tous les PC (et tous les profils) ? si la question 1 est difficile, alors je veux faire du proxy transparent : comment fais je ?

La solution décrite par Juve est une méthode qui repose sur le NAT (Network Address Translation) en réécrivant l'adresse ip destination.

Dans le cas présent, un pc veut naviguer vers www.google.fr : paquet (src: ip du pc, dst: ip de www.g.fr).
Ce paquet devient (src: ip du pc, dst: ip du proxy).
Le proxy reçoit le paquet, il interprète le contenu du paquet, effectue la requête et retourne le résultat au pc demandeur.

Ce fonctionnement est permis CAR la requête est à l'INTERIEUR du paquet. Donc il n'y a pas de conséquence au changement d'ip : ip destination a changée et n'est pas la bonne !

Hélas, cela ne fonctionne pas pour d'autres protocoles !

Je suis tout à fait d'accord avec vous. Pour la majorité des employeurs, tor n'est pas vraiment important. Aussi, comme enterprise, on toujours risque d'être infectée par des Virus etc. Alors, en général pour la majorité des entreprises il faut vraiment bloquer tor. Mais c'est seulement possible si on contrôle les permets de installer des programmes sur les ordinateurs.

Concernant les banques. C'est vraiment comme ça en Suisse. Les banques sont obligées par la loi de connaître ses clients et de toujours assurer bien que l'argent d'un client n'origine pas des activités criminaux. Autrement, la loi aussi protège les clients avec le «secret bancaire». Alors, pour faire la recherche, la banque ha besoin de l'internet. Mais elle doit être sure que Google, Yahoo ou Facebook ne connaissent pas ses clients. Ce qu'il font normalement c'est d'utilisé des lignes séparés et/ou Tor ou autres programmes d'anonymité.

Excellent !!

Merci juve à vos réponses trés clair et qui m'ont aidé à avancé sur des points bloquant , aussi bien dans ce topic que les autres.. Encore une fois merci

1)Cependant , le NAT outbound , est utilisé dans quel cas concret ? (en entrerpise )
Question de sécurité ?

Nat1:1 , j'ai bien compris le principe.
Mais concrétement dans quel cas l'utilisé ?

Merci Et à bientot

Trés cordialement

@ccnet:

System: Advanced functions -> Miscellaneous : cocher "Password protect the console menu". Rebooter pour que la modification soit effective. D'une façon générale un local fermé, sans fenêtre et climatisé s'impose. Ce n'est souvent pas possible dans les TPE.
Le titre du sujet est impropre.

Bonsoir,

Titre modifié.
Merci pour la réponse.

@Gertjan:

Vraiment, un serveur est une chose qui s'enferme.

Merci également,
Si tout le monde pouvait penser comme ça … Moi je le sais bien mais bon, ils sont prévenue, si ils ont un souci tant pis pour eux ... Je vais pas leur poser un verrou moi :P :P

Channel 12 ??

Ne faut-il pas utiliser 1, 5 ou 11 ?

Cela dit, il est TOUJOURS préférable d'utiliser un Access-Point ou un routeur Wifi SANS le port WAN.