NeoX a écrit 18114 commentaires

Installer un deuxième ipcop avec la même config comme secours.

basic (secours à froid) :

• installer le 2e ipcop
• exporter la config du premier, mettre sur le 2e
• éteindre le 2e ipcop et ne le brancher qu'en cas de besoin

luxueux (secours à chaud, synchro automatique entre les machines, etc) :

• installer ipcop,
• le configurer pour se mettre en cluster avec le premier
• une modification faite sur le chassis 1, va automatiquement sur le chassis 2
• la panne du chassis 1, active le chassis 2 qui prend alors le trafic en main

Améliorer la config existante pour ne pas permettre aux services de communiquer entre eux (ipcop ne gère pas les vlans sauf si on ajoute des addons).

si vraiment tu ne peux pas faire les vlans sur le firewall car il est trop vieux (2015) avec un addon (ipcop vlan date de 2010)

il n'y a qu'une seule methode

methode de riche (ou pas) :
si tu veux séparer tes "services/utilisateurs/reseaux", il te faut autant de carte reseau que de réseaux à gérer, puis brancher ces cartes réseaux sur autant de switch autonome (ils peuvent alors être non manageable, donc pas cher, mais il en faut autant que tu as de reseau).

RICHE : car il te faut autant de carte reseau et de switch que de reseau que tu veux gérer

autre méthode de riche (ou pas):
tu as des switch manageables, un seul switch peut gérer tous les reseaux, c'est alors les vlans qui vont découper le switch en switch virtuel, ex port 10 à 19 pour le vlan 10, port 20 à 24 pour le vlan 20, port 25 à 28 pour le vlan 30.

et comme ton ipcop ne gère pas les vlans, tu branches chacune des cartes reseaux dans tes différents lan sur les différents "sous switch" créé par les vlans sur le switch

RICHE : il te faut un switch manageable, et autant de carte sur le firewall que de reseau à gérer.

• Proposé une autre solution pare-feu…

cf toutes les propositions précédentes, mais oui, prendre un produit plus recent, plus ergonomique, etc

idéalement donc un firewall plus RECENT qui gere les vlans, et qui sera en mesure de se connecter avec 1 seule carte reseau, à tes différents reseaux via les vlans du switch

NB pour la Secu, c'est mieux d'avoir une carte physique pour chaque type de flux,
mais si tu as plusieurs connexions internet genre ADSL par exemple, tu peux regrouper les ADSL derriere une carte reseau 1Gbps (ou meme 100Mbps), tu pourras quand meme en mettre presque 50 sur le 1Gbps (5 sur le 100Mbps).

Tout internet reste alors derriere la carte RED, et chaque opérateur cause sur son vlan avec la carte RED.vlan1, RED.vlan2, RED.vlan3…

Arduino-ide c'est deja bien
sinon plateform.io

J'utilisais atom à une époque, maintenant je suis passé à visual studio code

Alors certes c'est microsoft, mais c'est dispo sur plusieurs plateformes,
et justement les plugins permettent d'en faire un outil multi-usage

sans plugin : éditeur de texte
avec plugin dev IOT = un codeur Arduino/nodemcu
avec plugins php/mysql/Web = un codeur pour web dev

et comme tu peux sauvegarder des environnements de travail (workspace)
tu reouvres ces workspaces avec les plugins et les dossiers de tes projets.

Ex : workspace "dev client A"
c'est du web, j'ai les plugins qui vont avec et je démarres direct dans le dossier du projet du client

workspace "dev client B"
c'est du devOPs, shell et python, je n'ai alors plus les plugins web, php, mysql mais les plugins bash et python

etc

Trop vieux pour tenter une upgrade

ca se tente ;)

il faut peut-être juste changer les depots debian.org en archive.debian.org

atom fait aussi le café,
il faut peut-être regarder les plugins prechargés pour supprimer ce qui ne t'intéressent pas.

sinon pour les cas extremes de ressources basses, y a les éditeurs en ligne de commande vim, emacs, nano qui font peut-être l'autocompletion yawl

Donc les questions:
- est-ce que je peux créer un autre sous domaine pointant vers la même ip et le router vers le cloud nextcloud ( https://cloud.xxx.be) ?
- si oui comment attribuer un certificat sur cette adresse avec un renouvellement automatique ?

si tu n'as que la VM cloud à proposer,
tu peux faire juste une redirection de port sur le firewall, port 80 et 443 => IP interne de la VM cloud.

mais sinon c'est exactement le but du reverse proxy (haproxy, ngnix…)

tu le configures sur ton pfsense,
il reçoit ton client sur l'ip publique port 80 et 443 en mode TCP et avec le SNI, pour le domaine cloud.xxxx.be, il renvoie le flux vers ton IP interne de ta VM cloud.

et hop,
tu gères ton letsencrypt sur la VM finale

tu insistes avec un distribution vieille de 4 ans (2015)

mais admettons, on t'a "vendu" ipcop comme étant LE truc à installer pour sécuriser ton réseau (ou en tout cas te faire la main dessus)

avant de mettre l'IP, il faut peut-être lui dire qu'elle carte va gerer quelle interface (green/red/dmz/vpn, etc)

enfin c'est comme ca que ca se passe sur d'autres firewalls,
quand il y a plusieurs cartes, par défaut il voit la premiere pour le lan, et c'est là que tu te connectes pour gérer le firewall,

ensuite il faut lui dire ce que tu veux faire de la 2e carte, qui est désactivée par défaut pour éviter les conflits.

tu pourrais vouloir la mettre en green aussi, pour avec 2x plus de debit grace à un agrégat (bond) ou de la redondance grace à un 'lagg'

https://lmgtfy.com/?q=securiser+debian8

:D

toutes les cartes wifi ne sont pas reconnues/fonctionnelles par défaut sur un linux,
parfois les constructeurs fournissent (ou pas) ce qu'il faut.

est-ce que tu vois la carte dans l'applet réseau à coté de l'horloge ?

est-ce que tu vois la carte wifi (ou la clef usb wifi) dans un terminal
lspci
lsusb

peut-être qu'en voyant que l'addon date de 2010, tu peux te poser judicieusement la question de la fiabilité d'un IPCOP en 2019 (9 ans après)

meme si la dernière version semble avoir été publiée en 2015
The latest stable IPCop version is 2.1.9, released on 2015-02-23.

4 ans dans le domaine de l'IT/sécurité, c'est énorme.

du coup, y a surement un intérêt à tester des trucs plus récents
- zeroshell : dernière mise à jour date d'aout 2019
- pfsense : fin juillet 2019
- opnsense : octobre 2019

et y en a surement d'autres que je ne connais pas.
dans un autre post on parle de ClearOS développé par HP et ses amis.

Lorsque j'ouvre le terminal, j'ai nomd'utilisateur@nomdupc :~$ . Est-ce le SU ou simple utilisateur?

ca te dit que tu es connecté en tant que nomd'utilisateur sur la machine nomdupc et que tu es dans le dossier ~ (soit le /home/nomd'utilisateur)

et le $ t'indique que tu n'es pas root (enfin par défaut, car on peut changer le prompt d'un terminal).

quand tu fais sudo commande tu passes root le temps de faire la commande et tu en ressors juste après, donc tu restes simple utilisateur avec pouvoir sudo.

enfin si tu passes root pour une durée plus longue avec sudo -i (il faut connaitre le mot de passe de l'utilisateur courant, et qu'il soit autorisé à être sudo ou avec su - (il faut connaitre le mot de passe de root)

ton prompt devient root@nomdupc: ~# (là encore le # par défaut, mais cela peut être configuré différemment sur ta distro)

et tu en sors avec le mot magique exit

du coup il te faut 5 firewalls avant ton LAN
de marque différentes, avec des versions d'OS/firmware différentes pour être vraiment protéger,

et une fois sur le lan, faire des vlans, passer par un autre firewall pour aller dans le bureau d'à coté, etc.

completer, c'est mettre un étage de plus dans tes problèmes

genre :
internet <-> asa <-> firewall <-> lan

alors que la question serait plutôt :

• l'age de l'asa (materiel qui pourrait tomber en panne, garantie, niveau de sécurité, et patches disponibles)
• le role de l'asa : quels services rend-t-il ? juste firewall, accès vpn distant, IPSec, interface web ssl vers l'interne
• son remplacement par autre chose ?
  • quelles fonctionnalités tu veux reconduire ? et donc quels produits savent faire cela ?
  • opensource tels que ceux que tu cites, maintenu par qui ? en interne, en externe ? quelles garanties, quelles sécurités ?
  • propriétaire pour avoir du support, des "garanties" sur un remplacement du matos en cas de panne, etc

j'ai pas ipcop sous la main, donc je ne saurais pas dire,

mais mon instinct le placerait dans les creations d'interfaces/vlans/aliases
pour pouvoir determiner que le firewall à de nouvelles interfaces 'virtuelles' qui sont en fait les vlans sur l'interface physique.

pour démarrer une nouvelle conversation, il faut cliquer en haut sur "forum"
puis "poster un sujet"

sinon en fait tu postes une réponse à la question initiale de l'utilisateur
ici c'était qu'il ne trouvait pas le "print" attendu

merci;) ca marche je penser aussi commencer avec Ubuntu, mais grosse galère pour l'installer avec virtual box je n'ai trouver aucune aide… je vais réessayer ca.

de la meme manière que kali,
tu télécharges le fichier ISO (amd64)
tu crees la VM de type linux/ubuntu 64
tu lui donnes le fichier ISO pour le cdrom

tu démarres la VM et tu répond au question

C'est pas exactement la question posée par Stinouff dans ce sujet ?

si le but c'est juste d'accéder à "serveur unix" quand tu n'es pas à la maison, alors oui, la redirection de port sur la box, et le service VPN sur serveur unix sera suffisant (en configurant le client vpn sur le poste PC/tablette/smartphone qui va se ballader en dehors de la maison)

que donne les infos de bases ?

disk -l pour connaitre les disques accessibles et les partitions qui sont dedans
pvs, vgs, lvs pour connaitre les Physical Volumes, les Volumes Groupes, puis les Logicals Volumes

quelques systèmes de fichiers utilises-tu par dessus le LV que tu veux agrandir ?
parfois il faut juste passer la commande resize2fs /dev/mapper/tonvolume pour qu'il s'agrandisse (enfin après avoir fait le lvresize /dev/mapper/tonvolume +XG évidemment

ip link set eno1 down
ip link set enp3s0 down

et hop, plus de connexion
bon tu peux aussi juste débrancher le câble en fait

si tu passes la box en bridge, tu perds surement la boxTV, le telephone,

mais tu gères ensuite tout sur ton serveur l'ip publique arrive sur eth0,
et tu fais ce que tu veux du flux,
mais tu exposes aussi directement cette machine sur internet.

si tu laisses la box operateur, tu peux n'ouvrir que les ports nécessaires provenant d'internet vers le serveur.

évidemment tu le fais déjà, il doit y avoir un réseau different sur eth0 et eth1
ex : 192.168.0.X/24 sur eth0 et 192.168.1.x/24 sur eth1, et 192.168.2.x derrière le routeur wifi

tu veux proteger la navigation des postes utilisateurs (RJ45/wifi)

alors le chiffrement VPN va se faire entre le serveur UNIX eth0 et un serveur VPN qui se trouve à l'extérieur (et il te faut donc un fournisseur VPN, et installer le client VPN sur le serveur unix)

ensuite ton réseau local derrière le wifi/reseau local reste en clair. et c'est un réglage en mode routeur/firewall qu'il te faut.

tu peux déjà tester sans le VPN, ça te permet de mettre les options de routage (ip_forward), de filtrage (firewalld, iptables, etc)

et seulement en derrière étape le VPN qui chiffre le flux sortant et masque ton IP

tu veux te connecter, depuis l'extérieur, à ton serveur

c'est alors la redirection de port qui va permettre cela,

• tu installes un serveur (openvpn par exemple) sur le serveur, par défaut c'est le port 1194
• tu le configures pour écouter sur la carte eth0
• tu configures ta box pour renvoyer le port extérieur 1194 vers l'IP eth0 de ton serveur (la redirection de port)

• tu configures un client DYNDNS sur le serveur pour mettre à jour un DNS quelquepart

• tu installes le client openvpn sur le PC qui va sortir du domicile pour se connecter sur le dyndns

Est ce que c'est possible et simple (une seule plage d'@ dans les 3 vlans),si je remplace ipcop par pfsense…

ce sera possible exactement de la même manière, que tu le fasses avec 1 logiciel ou un autre,

tu veux 4 réseaux (internet, et 3 réseaux clients) avec 2 cartes
donc il te faut un WAN/rouge/danger, et une carte LAN/vert/ok et 3 vlans sur la carte verte.

ensuite pour que ton firewall cause sur le switch il faut lui aussi qu'il ait les vlans,
cela fait autant de carte réseau virtuelle

et pour que tout le monde parle au firewall, il faut un range réseau pour chaque vlan,
avec passerelle = ip sur le vlan du firewall

voilà des choses pas très compliqué

pas très compliqué pour "toi", mais pour un ordinateur ou un développeur ça peut être plus compliqué

une version qui fait donc un peu tout ce que je peux faire avec mon w10 (internet , messenger) […] mail, bureautique

toutes peuvent le faire,
y compris youtube, Netflix, etc

jeux en réseau (steam , uplay et j'en passe )

là ça se complique,
si les moteur steam et uplay peuvent exister sur les plateformes Linux,
les jeux eux peuvent être parfois limité à windows uniquement (choix des développeurs)

alors on peut parfois "tricher" avec parfois de belles réussites, en installant WINE ou ses variantes (playit, playonlinux, crossover…) certaines sont open source, gratuite, payante, etc

WINE
playonlinux
playit
crossover

mais suivant ta machine, le mieux reste peut-être de garder le double démarrage
pour utiliser couramment le Linux, et ne retourner sous windows que pour les jeux.

pour chaque vlan il faut ajouter une carte réseau physique "green" à ipcop ?

oui, actuellement ton port 24 envoie les 3 vlans 10/20/30 sur la carte physique de ipcop
et Il faut differencier ces vlans sur l'ipcop par autant d'interfaces GREEN/vert/LAN

idéalement ce serait des interfaces physiques, sur autant de port du switch,
mais comme on n'en a qu'une, elle peut être "virtuelle", basée sur une seule interface physique.

d'ailleurs quand tu demandes à ajouter un VLAN sur l'ipcop, il te demande surement quelle sera l'interface physique.

ensuite sur chaque interface green il te faudra une IP pur chaque réseau client comme évoqué plus haut.

enfin si ton IPCOP n'a qu'une seule interface, c'est compliqué de faire de la vraie sécurité
car il faudrait une 2e carte physique, qui serait le "rouge" (WAN/internet)

internet -> [interface A] rouge (IPCOP) green [interface B] -> switch

ou alors tu fais tout en vlan
1 vlan => RED/Rouge => internet, la box operateur
1 vlan par utilisateur => green/vert => un sous réseau par utilisateur.

vu que tu débutes un sous réseau en 192.168.X.0/24
avec X numéroté de 1 à 254 pour chacun de tes clients fera l'affaire (plus facile à suivre dans les lots du firewall)

avec l'expérience, tu feras un 192.168.X.Y/30
cela donne alors une seule machine dans chaque vlan :

• Client 1 : 192.168.X.1, ipcop 192.168.X.2
• Client 2 : 192.168.X.5, ipcop 192.168.X.6
• Client 3 : 192.168.X.9, ipcop 192.168.X.10 etc

mais c'est plus complexe à suivre dans les lots