BOT - Foire Aux Questions
 
   

Présentation

1 - Quelle adresse MAC est celle de l'administrateur? Est-ce l'adresse MAC de la carte réseau du pare-feu IPCop ou l'adresse MAC de la carte réseau de l'ordinateur client?

2 - Est-ce que BlockOutTraffic peut être configuré pour permettre à plus d'une machine d'accéder à la page d'administration WebGUI de IPCop sur l'interface VERTE? En d'autres mots, est-ce possible d'avoir plus d'un "admin"?

3 - Pourquoi dois-je entrer une adresse MAC 'Administrateur' et un port HTTPS?

4 - J'ai entré la mauvaise adresse MAC 'Administrateur' et maintenant je ne peux plus accéder à IPCop.

5 - Quand j'active BOT, mon Traffic / Service XYZ arrête de fonctionner et je ne sais pas quoi faire!?

6 - Je ne peux plus accéder à l'option 'protocole et port'?

7 - Pourquoi est-ce que OrangeAsGreen n'est plus inclus / disponible depuis la version 1.4 de IPCop?

8 - J'ai installé une mise à jour pour IPCop et depuis ce temps l'option BlockOutTraffic n'apparait plus dans le WebGUI?

9 - Je veux utiliser le Web-Proxy (mode transparent) de IPCop. De quelle(s) règle(s) ai-je besoin?

10 - J'ai quelques redirections de ports (port-forwardings) de l'internet vers des ordinateurs internes. Dois-je créer des règles permettant aux ordinateurs internes de répondre aux requêtes provenant des redirections?

11 - Je ne suis pas certain que les règles que j'ai créé sont correctes, comment puis-je afficher toutes les règles IPTables provenant de BOT?

12 - L'option de copie de sécurité de IPCop ne copie pas le répertoire /var/ipcop/fwrules. En fait, j'ai découvert que le répertoire /var/ipcop/fwrules est explicitement exclu à l'aide du fichier /var/ipcop/backup/exclude.user. Pourquoi?

13 - Je veux administrer mon serveur IPCop à partir d'un lieu externe et pour cela j'ai créé un "accès externe" dans la page "Accès Externe" de IPCop. (Ou "J'ai créé une régle permettant le fonctionnement du service XY dans BOT.") Mais aussitôt que j'active BOT, l'accès à distance (ou le service XY) ne fonctionne pas. La réponse à la FAQ #5 de BOT ne m'est d'aucune utilité. Qu'est ce qui ne fonctionne pas?

14 - Quand je veux appliquer une règle restrictive à certaines adresses IP, non seulement cette règle s'applique-t-elle aux Postes de travail/Adresses IP visés mais aussi, elle s'applique à tous les autres Postes de travail/Adresses IP du réseau. Qu'est-ce que je fais de travers?


1 - Quelle adresse MAC est celle de l'administrateur? Est-ce l'adresse MAC de la carte réseau du pare-feu IPCop ou l'adresse MAC de la carte réseau de l'ordinateur client?
Il s'agit de l'adresse MAC de la carte réseau de l'ordinateur client à partir duquel vous administrez IPCop.
Vers le haut

2 - Est-ce que BlockOutTraffic peut être configuré pour permettre à plus d'une machine d'accéder à la page d'administration WebGUI de IPCop sur l'interface VERTE? En d'autres mots, est-ce possible d'avoir plus d'un "admin"?
Oui, c'est possible. Créez une régle d'accès IPCop pour chaque admin.
Vers le haut

3 - Pourquoi dois-je entrer une adresse MAC 'Administrateur' et un port HTTPS?
L'accès à IPCop est bloqué par défaut et c'est pourquoi vous devez initialement entrer une adresse MAC 'Administrateur' et un port HTTPS. Si une telle règle n'existait pas, vous seriez bloqué à l'extérieur de IPCop et incapable d'accéder à son interface GUI.
Vers le haut

4 - J'ai entré la mauvaise adresse MAC 'Administrateur' et maintenant je ne peux plus accéder à IPCop.
Loguez-vous directement sur l'ordinateur où est installé IPCop avec le compte "root". Une fois connecté, tapez la commande suivante:
iptables -F BOT_INPUT # iptables -F CUSTOMINPUT pour les vieilles versions de BOT
Cette commande efface toutes les règles (permission et refus) de IPCop. Maintenant, vous pourrez accéder à l'interface GUI, désactiver BOT et changer l'adresse MAC 'Administrateur'.

Vers le haut

5 - Quand j'active BOT, mon Traffic / Service XYZ arrête de fonctionner et je ne sais pas quoi faire!?
Par défaut, BOT bloque tout le traffic qui n'est pas explicitement permis. Accédez à la configuration de BOT et activer la journalisation des paquets qui n'ont pas satisfaits aux règles de BlockOutTraffic. Réactivez BOT et relancer votre service une autre fois. Ensuite, vérifiez les journaux du pare-feu IPCop sous " WebGUI-->Journaux-->Journal du pare-feu" en recherchant dans le traffic bloqué des indices sur la règle manquante. Ainsi, vous devriez être capable de créer la règle manquante dans BOT.
Vers le haut

6 - Je ne peux plus accéder à l'option 'protocole et port'?
Vous devriez définir un service personnalisée dans "Config. Avancée Pare-feu". Quand au moins un service personnalisé existe, vous pouvez le sélectionner dans le créateur de règles.
Vers le haut

7 - Pourquoi est-ce que OrangeAsGreen n'est plus inclus / disponible depuis la version 1.4 de IPCop?
Dans la version 1.4, vous pouvez utiliser l'interface BLEU au lieu de l'interface ORANGE. Et sur l'interface BLEU, the "WebProxy" est toujours disponible, donc, le "Mod" supplémentaire OrangeAsGreen n'est plus nécessaire. Pour un support complet de OrangeAsGreen où plutôt disons BlueAsGreen, vous n'avez qu'à interdire l'accès de VERT vers BLEU et de BLEU vers VERT, ce qui est maintenant possible via le créateur de règles de BOT.
Vers le haut

8 - J'ai installé une mise à jour pour IPCop et depuis ce temps l'option BlockOutTraffic n'apparait plus dans le WebGUI?
La mise à jour a écrasé le fichier "header.pl" ou un fichier de langue ce qui a eu pour effet d'effacer BOT du menu WebGUI de IPCop. Actuellement, la seule manière de restaurer BOT dans le WebGUI est de désinstaller et de réinstaller BOT afin qu'il réapparaisse dans le menu.
Lorsque vous désinstallez et réinstallez BOT, vous ne perdez pas vos règles, les paramètres et la configuration sont sauvegardées et restaurées automatiquement!

Vers le haut

9 - Je veux utiliser le Web-Proxy (mode transparent) de IPCop. De quelle(s) règle(s) ai-je besoin?
Vous n'avez besoin que d'une seule règle d'accès de IPCop. Cette règle doit permettre l'accès au port proxy de IPCop. (le numéro de port par défaut du proxy est 800). Mieux encore, si vous créez un service personnalisé dans la page "BOT Config. Avancés" avec TCP et un port Proxy. Maintenant vous pouvez choisir le service personnalisé dans le créateur de règles.
Peu importe que vous utilisiez le proxy en mode transparent ou non, vous devez toujours utiliser le port du proxy. Il n'est PAS nécessaire de créer un règle HTTP (port 80) quand vous utilisez le proxy!

Vers le haut

10 - J'ai quelques redirections de ports (port-forwardings) de l'Internet vers des ordinateurs internes. Dois-je créer des règles permettant aux ordinateurs internes de répondre aux requêtes provenant des redirections?
Non, vous devez seulement activer les options "Allow related, established connections" dans le configuration de BOT. Cette règle permet aux PCs de communiquer avec l'extérieur s'ils répondent à une connection existante initiée sur l'Internet et provenant d'une redirection.
NOTE:
Vous devriez toujours vérifier les redirections de ports à partir de l'extérieur, jamais à partir de l'intérieur! IPCop sans BOT possède un règle pour vérifier les redirections à partir de l'intérieur, mais celle-ci ne fonctionne plus une fois BOT installé même si ça fonctionne à partir de l'extérieur.

Vers le haut

11 - Je ne suis pas certain que les règles que j'ai créé sont correctes, comment puis-je afficher toutes les règles IPTables provenant de BOT?
Exécutez les commandes suivantes:

iptables -nvL CUSTOMFORWARD && \
iptables -nvL CUSTOMINPUT && \
iptables -nvL BOT_FORWARD && \
iptables -nvL BOT_INPUT
Vous devriez voir la liste de toutes les règles reliées à BOT. Dans les chaînes CUSTOM*, vous devriez voir les deux entrées BOT_*. Dans les chaînes BOT_*, vous devriez voir toutes les règles IPtables provenant de BOT.
Vers le haut

12 - L'option de copie de sécurité de IPCop ne copie pas le répertoire /var/ipcop/fwrules. En fait, j'ai découvert que le répertoire /var/ipcop/fwrules est explicitement exclu à l'aide du fichier /var/ipcop/backup/exclude.user. Pourquoi?
Pour une raison bien simple: Si la copie de sécurité incluait la configuration de BOT et que vous vouliez installer une machine IPCop "B" à partir de la configuration sauvegardée d'une machine IPCop "A", les fichiers BOT de configuration de la machine "A" seraient copiés sur la machine "B" (C'est probablement ce que voulez mais laissez-moi vous expliquer pourquoi on ne peut s'y prendre de cette manière).
Maintenant, quand vous voudriez:
  1. ... désinstaller BOT de la machine 'B', les fichiers provenant de 'A' resteraient sur le disque, inutilisés. Ils seraient refusés.
  2. ... installer BOT sur la machine "B", BOT détecterait les fichiers et penserait que BOT est déjà installé, même si ce n'est pas le cas. De plus, lorsque les fichiers sauvegardés proviennent d'une version antérieure à la version de BOT que vous installez sur "B", celui-ci refusera de s'installer.
Si vous voulez copier la configuration d'une machine IPCop à une autre, consultez la section Trucs & Conseils.
Vers le haut

13 - Je veux administrer mon serveur IPCop à partir d'un lieu externe et pour cela j'ai créé un "accès externe" dans la page "Accès Externe" de IPCop. (Ou "J'ai créé une régle permettant le fonctionnement du service XY dans BOT.") Mais aussitôt que j'active BOT, l'accès à distance (ou le service XY) ne fonctionne pas. La réponse à la FAQ #5 de BOT ne m'est d'aucune utilité. Qu'est ce qui ne fonctionne pas?
Vérifiez que vous n'avez pas créé un règle "de votre cru", via le créateur de régle de BOT, qui bloque votre accès externe (ou votre service XY), comme dans l'exemple des règles Réduction des messages du Firewall. Vous bloquez probablement votre accès externe (ou votre service XY) via une telle règle de bloquage.
Vers le haut

14 - Quand je veux appliquer une règle restrictive à certaines adresses IP, non seulement cette règle s'applique-t-elle aux Postes de travail/Adresses IP visés mais aussi, elle s'applique à tous les autres Postes de travail/Adresses IP du réseau. Qu'est-ce que je fais de travers?
Vous avez défini l'adresse IP avec un masque réseau différent de /32 ou 255.255.255.255. Donc, Quand vous entrez l'adresse IP 192.168.0.5 avec un masque de 255.255.255.0, toutes les adresses IP dans la plage 192.168.0.* sont affectées par cette règle. Pour régler ce problème, modifiez le masque réseau de l'adresse visée pour /32 ou 255.255.255.255.
top

FAQ dernières modifications - 10 Octobre 2007

IPCop - The Bad Packets Stop Here

BlockOutTraffic - The Firewall WebGUI Addon for IPCop


 
  Créé par dotzball (2006) | Design par wintermute