Choix sécurité réseau sous Linux (IpCop)

Bonjour à tous,

Je suis animateur nouvelles technologies dans un centre de formation.
J'ai aussi à charge d'administrer le réseau (entre autres tâches).
J'ai initialement un profil de développeur et aussi quelques notions en réseau.
J'ai beaucoup appris en autodidacte,
mais j'ai beaucoup de lacunes dans le domaine du réseau,
que j'essaye de combler au fur et à mesure de mes expériences.

Bien que je crois énormément à l'univers Linux et à sa communauté,
je suis malgré tout utilisateur Windows que je connais beaucoup mieux
(par la suite j'aimerais vraiment me mettre à Linux).

Je n'ai pas eu la chance de connaître mon prédécesseur,
et j'ai dû faire sans lui depuis mon premier jour de travail.

Mon prédécesseur a eu la bonne idée de mettre les DNS en dur :
dans le routeur connecté au modem
et depuis les différentes machines du réseau.

Or depuis un mois, les DNS n'étaient plus valides.

Il en résultait qu'il n'y avait plus Internet (du moins en apparence).

Je viens de reprendre mon travail et ma tâche première
a été de remettre Internet en place.


MON RESEAU:
===========

L'architecture du réseau ressemble à ceci:


Internet -> Modem -> Routeur

et depuis le routeur:
-> Mandriva
-> Windows 2003 Server
-> Postes

Or Windows 2003 Serveur ainsi que les postes utilisent un proxy sous Linux.
Le serveur Linux est une distribution Mandriva avec "dan's guardian" dedans
(j'ai compris qu'il faisait office de contrôle parental mais je peux me tromper).




J'ai mal ciblé la cause probable du problème,
et je n'ai pas fait assez attention aux DNS.
De fait, j'ai écarté cette hypothèse prématurément.

Comme mon poste personnel pouvait se connecter à Internet
mais que Windows 2003 server lui ne le pouvait pas,
j'ai cherché de ce coté et j'ai vu que celui-ci
se servait du serveur Mandriva comme proxy.

Donc j'en ai déduis que le problème venait du proxy.

J'ai commencé ma recherche sous Mandriva.
Je n'ai pas mis en doute ses DNS qui pointaient sur le routeur ...
Ne pas vérifier que les DNS étaient invalides a été ma première erreur grossière.

Sur le bureau de Mandriva, en haut dans la barre (je ne sais pas comment elle s'appelle)
il y avait une icône de connexion rompue. J'ai regardé de plus près,
et j'ai constaté que eth0 était invalide (ou quelque chose comme ça).

Je me suis dit, que c'était peut être un bug sous Linux,
et j'ai reparamétré la connexion (même IP fixe, DNS, Nom d'hôte, etc.)

NB1 :
[ Je tiens à signaler qu'un jour pour une raison inconnue,
le serveur Mandriva s'est éteint. De fait, aucun des utilisateurs
n'avait Internet. J'ai remarqué que le serveur était éteint.
Je l'ai redémarré et tout est rentré dans l'ordre.
Je ne pense pas que cela était intentionnel
(un utilisateur qui aurait éteint manuellement le serveur),
et comme je ne connais pas assez Linux, je ne sais même pas
s'il y a un log quelconque qui me guiderait, quant à la cause du problème.
Depuis ce jour, je me dis que ce serveur est peut être instable,
sans remettre en cause la technologie Linux pour autant.
C'est pour cela que j'ai essayé de remettre la connexion manuellement. ]

Mon problème n'étant pas résolu, j'ai cherché ailleurs ...

J'ai finalement trouvé la solution : les DNS erronés ...
En plus, sur mon serveur Mandriva., j'ai eu à nouveau Internet.


MAIS, et c'est là la source de mon problème,
le serveur Mandriva n'est plus accessible depuis les autres postes de mon réseau.


Je peux effectuer un PING depuis Mandriva à destination des autres machines,
mais pas l'inverse. Mandriva n'existe plus pour les autres machines.
J'ai même essayé, de mettre Mandriva en DHCP et prendre pour passerelle le routeur
et j'ai été sur la page de configuration du routeur pour constater dans la liste
des éléments attachés que des fois Mandriva apparaît d'autres fois non.
Et en plus l'élément n'avait pas de nom d'hôte,
alors que sous Mandriva j'en avais donné un.


De ce fait, je ne peux plus rediriger les clients navigateurs vers le proxy Mandriva,
et ça me pose 2 problèmes :
- je ne suis pas sûr à 100% mais il me semble que dans mon serveur Mandriva,
il y a un programme qui fait office de Firewall.
- je n'ai plus de bloquage dansguardian sur les mots clefs de type pornographique, raciste, etc.

Donc, tant que j'ai pas résolu le problème,
les utilisateurs qui peuvent être des mineurs,
ont un accès total au contenu d'Internet.
Et peut être ai-je, sans le vouloir, créé une faille de sécurité dans mon réseau.
De plus, sous Windows 2003 server l'antivirus utilise le proxy Mandriva,
ce qui me laisse penser qu'il fait aussi office de firewall.


COMPETENCES LINUX:
==================

En ce qui me concerne:
j'ai un peu appris à utiliser Linux avec la distribution de Ubuntu 5.04,
et les quelques recherches que j'ai fait pour régler des problèmes mineurs.
J'ai des notions en terme de sécurité sous Linux : le superutilisateur, les droits,
les commandes (sous Windows j'ai des connaissances dans les scripts batch).
J'ai aussi réussi à modifier le fichier de la liste blanche de dansguardian manuellement.
De facon générale, je connais le fonctionnement d'un firewall local sur un PC,
mais je n'ai pas trop la vue d'un firewall global sur un réseau.



IPCOP:
======

J'ai entendu parler d'IpCop, mais je ne sais pas si celui-ci pourrait
s'intégrer à mon architecture réseau.
Tous les postes sont physiquement reliés de façon égale en étoile.
Et ce n'est que d'un point de vue logique, que tout passe par le proxy
(redirection depuis les clients navigateur).

En effet, celui-ci n'est pas physiquement en amont du réseau.
Et d'après la documentation d'IpCop (que je viens de commencer à lire),
ce dernier fait le pont physique entre Internet (réseau Rouge)
et le réseau de confiance Ethernet (réseau vert).
Or ce que je souhaite, c'est juste de m'en servir en tant que proxy.




QUESTIONS:
==========

Ma première question :
D'après ce que j'ai décrit, d'où pourrait provenir le problème
relatif au serveur Mandriva qui est inaccessible depuis l'extérieur ?
Quand j'ai reparamétré manuellement l'IP de Mandriva,
ai je oublié de répercuter cette modification ailleurs ?
Une prise en compte des modifications par les autres programmes ?


Ma deuxième question:
Est t-il possible d'utiliser IpCop uniquement en tant que proxy,
et donc de n'avoir qu'à relier ce dernier au réseau
via une unique connexion ethernet (pas de pont physique) ?

Illustration:

Routeur ->
-> Postes
-> W2003S
-> IpCop




Troisième question:
Ce que j'aimerais vraiment, c'est maitriser tout mon réseau.
De ce fait, je voudrais remonter un serveur depuis zéro,
pour remplacer le serveur Mandriva actuel.
Celui-ci ferait uniquement office de Firewall et de bloquage parental.

De plus, il faudrait que le blocage interagisse selon le groupe Active Directory
auquel appartient l'utilisateur ou par un autre procédé.
Un formateur ne doit pas être en proie au filtrage, un élève si !

Dans quelle voie m'orienter ?
Doit je apprendre Linux de A à Z, si c'est le cas pourriez vous me conseiller des liens
qui permettent d'apprendre rapidement l'essentiel de Linux ?


Quatrième question:
Par la suite je voudrais remplacer Windows 2003 server par un système Linux.
Concrètement je n'ai pas vraiment le temps pour le moment.
Je sais qu'un équivalent d'Active Directory existe sous Linux.
Pourriez vous orienter ma décision quand à la distribution (gratuite si possible),
les logiciels, l'architecture physique du réseau, la complexité, les pièges etc. ?



NB2 :
Bien que je comprenne globalement l'anglais,
serait-il possible de privilégier les documentations en bon francais ... ?

NB3 :
Bien que mon problème ne soit pas critique au point d'empêcher le réseau de fonctionner,
il l'est tout de même pour la sécurité et pour le contrôle parental (utilisateurs mineurs).
Donc je ne met pas de caractère TRES URGENT, mais quand même un peu ... !
Pour le moment j'ai bien évidemment enlevé la redirection vers le proxy.


Merci de m'avoir lu.

J'attend avec impatience vos conseils avisés.

lenainjaune