NeoX a écrit 18155 commentaires

peut-être qu'en voyant que l'addon date de 2010, tu peux te poser judicieusement la question de la fiabilité d'un IPCOP en 2019 (9 ans après)

meme si la dernière version semble avoir été publiée en 2015
The latest stable IPCop version is 2.1.9, released on 2015-02-23.

4 ans dans le domaine de l'IT/sécurité, c'est énorme.

du coup, y a surement un intérêt à tester des trucs plus récents
- zeroshell : dernière mise à jour date d'aout 2019
- pfsense : fin juillet 2019
- opnsense : octobre 2019

et y en a surement d'autres que je ne connais pas.
dans un autre post on parle de ClearOS développé par HP et ses amis.

Lorsque j'ouvre le terminal, j'ai nomd'utilisateur@nomdupc :~$ . Est-ce le SU ou simple utilisateur?

ca te dit que tu es connecté en tant que nomd'utilisateur sur la machine nomdupc et que tu es dans le dossier ~ (soit le /home/nomd'utilisateur)

et le $ t'indique que tu n'es pas root (enfin par défaut, car on peut changer le prompt d'un terminal).

quand tu fais sudo commande tu passes root le temps de faire la commande et tu en ressors juste après, donc tu restes simple utilisateur avec pouvoir sudo.

enfin si tu passes root pour une durée plus longue avec sudo -i (il faut connaitre le mot de passe de l'utilisateur courant, et qu'il soit autorisé à être sudo ou avec su - (il faut connaitre le mot de passe de root)

ton prompt devient root@nomdupc: ~# (là encore le # par défaut, mais cela peut être configuré différemment sur ta distro)

et tu en sors avec le mot magique exit

du coup il te faut 5 firewalls avant ton LAN
de marque différentes, avec des versions d'OS/firmware différentes pour être vraiment protéger,

et une fois sur le lan, faire des vlans, passer par un autre firewall pour aller dans le bureau d'à coté, etc.

completer, c'est mettre un étage de plus dans tes problèmes

genre :
internet <-> asa <-> firewall <-> lan

alors que la question serait plutôt :

• l'age de l'asa (materiel qui pourrait tomber en panne, garantie, niveau de sécurité, et patches disponibles)
• le role de l'asa : quels services rend-t-il ? juste firewall, accès vpn distant, IPSec, interface web ssl vers l'interne
• son remplacement par autre chose ?
  • quelles fonctionnalités tu veux reconduire ? et donc quels produits savent faire cela ?
  • opensource tels que ceux que tu cites, maintenu par qui ? en interne, en externe ? quelles garanties, quelles sécurités ?
  • propriétaire pour avoir du support, des "garanties" sur un remplacement du matos en cas de panne, etc

j'ai pas ipcop sous la main, donc je ne saurais pas dire,

mais mon instinct le placerait dans les creations d'interfaces/vlans/aliases
pour pouvoir determiner que le firewall à de nouvelles interfaces 'virtuelles' qui sont en fait les vlans sur l'interface physique.

pour démarrer une nouvelle conversation, il faut cliquer en haut sur "forum"
puis "poster un sujet"

sinon en fait tu postes une réponse à la question initiale de l'utilisateur
ici c'était qu'il ne trouvait pas le "print" attendu

merci;) ca marche je penser aussi commencer avec Ubuntu, mais grosse galère pour l'installer avec virtual box je n'ai trouver aucune aide… je vais réessayer ca.

de la meme manière que kali,
tu télécharges le fichier ISO (amd64)
tu crees la VM de type linux/ubuntu 64
tu lui donnes le fichier ISO pour le cdrom

tu démarres la VM et tu répond au question

C'est pas exactement la question posée par Stinouff dans ce sujet ?

si le but c'est juste d'accéder à "serveur unix" quand tu n'es pas à la maison, alors oui, la redirection de port sur la box, et le service VPN sur serveur unix sera suffisant (en configurant le client vpn sur le poste PC/tablette/smartphone qui va se ballader en dehors de la maison)

que donne les infos de bases ?

disk -l pour connaitre les disques accessibles et les partitions qui sont dedans
pvs, vgs, lvs pour connaitre les Physical Volumes, les Volumes Groupes, puis les Logicals Volumes

quelques systèmes de fichiers utilises-tu par dessus le LV que tu veux agrandir ?
parfois il faut juste passer la commande resize2fs /dev/mapper/tonvolume pour qu'il s'agrandisse (enfin après avoir fait le lvresize /dev/mapper/tonvolume +XG évidemment

ip link set eno1 down
ip link set enp3s0 down

et hop, plus de connexion
bon tu peux aussi juste débrancher le câble en fait

si tu passes la box en bridge, tu perds surement la boxTV, le telephone,

mais tu gères ensuite tout sur ton serveur l'ip publique arrive sur eth0,
et tu fais ce que tu veux du flux,
mais tu exposes aussi directement cette machine sur internet.

si tu laisses la box operateur, tu peux n'ouvrir que les ports nécessaires provenant d'internet vers le serveur.

évidemment tu le fais déjà, il doit y avoir un réseau different sur eth0 et eth1
ex : 192.168.0.X/24 sur eth0 et 192.168.1.x/24 sur eth1, et 192.168.2.x derrière le routeur wifi

tu veux proteger la navigation des postes utilisateurs (RJ45/wifi)

alors le chiffrement VPN va se faire entre le serveur UNIX eth0 et un serveur VPN qui se trouve à l'extérieur (et il te faut donc un fournisseur VPN, et installer le client VPN sur le serveur unix)

ensuite ton réseau local derrière le wifi/reseau local reste en clair. et c'est un réglage en mode routeur/firewall qu'il te faut.

tu peux déjà tester sans le VPN, ça te permet de mettre les options de routage (ip_forward), de filtrage (firewalld, iptables, etc)

et seulement en derrière étape le VPN qui chiffre le flux sortant et masque ton IP

tu veux te connecter, depuis l'extérieur, à ton serveur

c'est alors la redirection de port qui va permettre cela,

• tu installes un serveur (openvpn par exemple) sur le serveur, par défaut c'est le port 1194
• tu le configures pour écouter sur la carte eth0
• tu configures ta box pour renvoyer le port extérieur 1194 vers l'IP eth0 de ton serveur (la redirection de port)

• tu configures un client DYNDNS sur le serveur pour mettre à jour un DNS quelquepart

• tu installes le client openvpn sur le PC qui va sortir du domicile pour se connecter sur le dyndns

Est ce que c'est possible et simple (une seule plage d'@ dans les 3 vlans),si je remplace ipcop par pfsense…

ce sera possible exactement de la même manière, que tu le fasses avec 1 logiciel ou un autre,

tu veux 4 réseaux (internet, et 3 réseaux clients) avec 2 cartes
donc il te faut un WAN/rouge/danger, et une carte LAN/vert/ok et 3 vlans sur la carte verte.

ensuite pour que ton firewall cause sur le switch il faut lui aussi qu'il ait les vlans,
cela fait autant de carte réseau virtuelle

et pour que tout le monde parle au firewall, il faut un range réseau pour chaque vlan,
avec passerelle = ip sur le vlan du firewall

voilà des choses pas très compliqué

pas très compliqué pour "toi", mais pour un ordinateur ou un développeur ça peut être plus compliqué

une version qui fait donc un peu tout ce que je peux faire avec mon w10 (internet , messenger) […] mail, bureautique

toutes peuvent le faire,
y compris youtube, Netflix, etc

jeux en réseau (steam , uplay et j'en passe )

là ça se complique,
si les moteur steam et uplay peuvent exister sur les plateformes Linux,
les jeux eux peuvent être parfois limité à windows uniquement (choix des développeurs)

alors on peut parfois "tricher" avec parfois de belles réussites, en installant WINE ou ses variantes (playit, playonlinux, crossover…) certaines sont open source, gratuite, payante, etc

WINE
playonlinux
playit
crossover

mais suivant ta machine, le mieux reste peut-être de garder le double démarrage
pour utiliser couramment le Linux, et ne retourner sous windows que pour les jeux.

pour chaque vlan il faut ajouter une carte réseau physique "green" à ipcop ?

oui, actuellement ton port 24 envoie les 3 vlans 10/20/30 sur la carte physique de ipcop
et Il faut differencier ces vlans sur l'ipcop par autant d'interfaces GREEN/vert/LAN

idéalement ce serait des interfaces physiques, sur autant de port du switch,
mais comme on n'en a qu'une, elle peut être "virtuelle", basée sur une seule interface physique.

d'ailleurs quand tu demandes à ajouter un VLAN sur l'ipcop, il te demande surement quelle sera l'interface physique.

ensuite sur chaque interface green il te faudra une IP pur chaque réseau client comme évoqué plus haut.

enfin si ton IPCOP n'a qu'une seule interface, c'est compliqué de faire de la vraie sécurité
car il faudrait une 2e carte physique, qui serait le "rouge" (WAN/internet)

internet -> [interface A] rouge (IPCOP) green [interface B] -> switch

ou alors tu fais tout en vlan
1 vlan => RED/Rouge => internet, la box operateur
1 vlan par utilisateur => green/vert => un sous réseau par utilisateur.

vu que tu débutes un sous réseau en 192.168.X.0/24
avec X numéroté de 1 à 254 pour chacun de tes clients fera l'affaire (plus facile à suivre dans les lots du firewall)

avec l'expérience, tu feras un 192.168.X.Y/30
cela donne alors une seule machine dans chaque vlan :

• Client 1 : 192.168.X.1, ipcop 192.168.X.2
• Client 2 : 192.168.X.5, ipcop 192.168.X.6
• Client 3 : 192.168.X.9, ipcop 192.168.X.10 etc

mais c'est plus complexe à suivre dans les lots

tu veux séparer les utilisateurs en mettant chaque machine dans un vlan ?
il te faut alors une interface/vlan sur le ipso, avec un range IP pour ton utilisateur, une IP sur l'ipcop qui sera la passerelle de cet utilisateur

ensuite il faut que les vlans existent sur le switch :
- en mode native vlan, access ou paid selon les switch, sur l'interface qui va à l'utilisateur
- en mode trunk avec tous les vlans sur l'interface qui va à l'interface de ipcop

tu as alors des flux
utilisateur -> port du switch -> vlan X -> switch -> port du ipcop -> vlan X -> firewall

Mais malheureusement (pas de connexion)
sauf si je branche le câble dans un des deux vlan donc pas de connexion à l’autre vlan

et tu as bien des IPs différentes sur tes vlans ?
Vlan A : 192.168.1.0/24 => ipcop sur IP 192.168.1.1 par exemple
Vlan B : 192.168.2.0/24 => ipcop aussi sur IP 192.168.2.1
Vlan C : 192.168.3.0/24 => ipcoop sur IP 192.168.3.1
etc

chaque vlan son adressage, et IPCOP a une carte/interface/vlan avec une IP dans chaque adressage

a réponse du terminal vous n’êtes pas useors nous signalons le problème

comme dit plus haut,
ajouter l'utilisateur au groupe sudo
se déblogguer, se relogguer

AMD Sync sert plutôt à baisse les FPS de l'écran si on le souhaite

baisser le FPS d'un écran ???

non en gaming on cherche les FPS les plus élevés, d'ou les cartes graphiques performantes, chères

mais bon je peux me tromper

j'envisageais le AMD Sync

pourquoi faire ?
tu fais des videos à plus de 60FPS, qui necessite une image parfaitement synchroniser sans ghosting pour ameliorer les temps de reaction (PC de gamer)

ou tu fais du montage video ?

d'apres le tableau, tu ne pourras faire du 3200Mhz qu'en mettant 2 barrettes maxi

si tu en met 4, ce sera alors du 2933 voir 2666
mais pour un :

• CPU Ryzen matisse
• des RAMs sur des frequences non XMP (protocole entre la CM et les RAM qui definit les frequences possibles de la RAM)

si ces solutions sont à mon niveau, mûres pour de la prod, et qu'elles n'occasionnent pas trop de travail d'admin en plus.

mures pour la prof = oui, je tourne la dessus depuis plus de 5 ans (proxmox en cluster)

trop de travail = une fois installée, ça reste un Linux classique, pour lequel il faut faire les mises jours quand même, mais pas plus que pour ton serveur dédié.

ensuite les VMs/Conteneurs sont des machines à part entières, donc il faut les gérer aussi, faire les mises à jours, etc

Carte graphique ASUS GeForce RTX 2070 - DUAL-RTX2070-8G

avant de claquer ton budget la dedans, il te faut regarder si les logiciels que tu comptes utiliser son compatible ou savent utiliser cette carte.

en effet certains moteurs de rendus vont utiliser openCL, CUDA, VULKAN pour passer des calculs dans le GPU plutôt que sur le CPU,

mais tous les logiciels ne savent pas le faire,
et même en sachant le faire, toutes les cartes graphiques ne sont pas compatibles

quand tu as installé ta debian il t'a demandé 2 utilisateurs
- root (qui a tous les pouvoirs sur la machine)
- ton utilisateur (qui ne peut qu'utiliser la machine)

donc quand tu veux installer ou supprimer un logiciel il faut être root
cela se fait en faisant su - suivi du mot de passe de root
et ensuite les commandes que tu veux taper pour installer ou virer un logiciel
puis exit pour sortir de la ligne de commande de root

dans divers tutoriels tu trouveras sudo la commande
cette commande permet de faire une commande en tant que root

mais dans debian, la commande sudo n'est pas installé, et ton utilisateur n'est pas dans le groupe sudo.

Il faut donc d'abord faire

su -
taper le mot de passe root
adduser tonutilisateur sudo
apt install sudo
exit

puis redémarrer ton ordi pour que la modification soit prise en compte.

de là tonutilisateur pourra faire sudo commande
et c'est alors le mot de passe de tonutilisateur qu'il faudra utiliser

Oui c'est une bonne idée à laquelle je n'avais pas songé. Après je voulais aussi éviter d'avoir à gérer en plus du Linux/Mysql, la partie "infra" sous-jacente Windows/ESX.

donc en gros tu veux un truc automatique, géré par le fournisseur ?

alors oriente toi vers du mutualisé,
tu n'as alors plus qu'un acces FTP pour deposer tes fichiers,
et ton wordpress pour l'utiliser courrament

le fournisseur s'occupe du serveur de base de données, du serveur de fichier,
et toi tu geres ton site

il n'y a pas de windows dans l'histoire,

• proxmox est une debian avec une surcouche, tu peux faire la meme chose avec un debian de base, et des outils comme lxc/kvm/virt-manager
• esxi est un OS baremetal

les deux, une fois installée se gere par une interface web dédié, tu peux ne jamais mettre la main sur la ligne de commande.