Plusieurs IP Publique et IPCOP

[dracossan]

Bonjour,

J'aimerais prendre une ligne sdsl puis la connecter sur un IPCOP.
Jai une plage de 8 IPs publiques et j aimerais savoir si IPCOP peut gerer les 8 ip sur une seule carte RED.

Ensuite savoir si il est possible de rediriger par exemple le port 80 de chaque ip publique sur une machine differente dans la DMZ , a partir de la console web ?


Merci messieurs pour vos reponses .

[shwing]

par defaut, une carte RED = un IP.

peut-être qu'addon est capable de t'aider.

[TechnX]

Quoi qu'il arrive, je te conseil de séparer la charge entre plusieurs IPCOP

[dracossan]

ok merci des infos.

Alors suite a ca , est ce qu une virtualisation de plusieurs IPCOP fonctionne ?

Est ce que quelqu'un as deja essaye ?

Merci.

[Franck78]

A tout hazard je rapelle que IPCop gère (pas très bien il est vrai) les alias sur RED. Donc le pool d'IP, sur carte ethernet eiste bel et bien.

Le problème vienrait du NAT qui utilise toujours l'IP de base alors que pluiseurs persones aimeraient attribuer l'IP alias à un service ou à un serveur.

[Elfeclair]

Bonjour,

Je ne comprend pas bien les limitations que tu cites. Un IPCop gère sans problèmes (à ma connaissance) plusieurs IP publiques en alias sur la carte RED.
Je m'en sert pour adresser en NAT mes serveurs sur la DMZ (en Orange).

[ccnet]

Dans le cas de l'utilisation d'une plage d'ip publiques, cette limitation d'IPCOP qui consiste à faire uniquement du NAT dynamique (c'est du moins ainsi que le définisse certains éditeurs ...), c'est à dire à tout translater avec une seule et unique adresse est parfois génante pour les raisons évoquées plus haut.
J'ai cru comprendre en cherchant ici que ce problème avait une solution avec Iptables. Je n'ai pas encore testé.
Peut être aurons nous une évolution sur ce point dans la version 1.5 ? Pour tout dire cela me simplifierai bien la vie dans un cas précis.
Le monde ne s'est pas fait en un jour, Ipcop non plus.

[Franck78]

Oui mais il y en a qui aimerait bien que quand 'une machine*' devient cliente elle utilise un alias et pas l'IP RED. Et ca on peut pas.
Fait un tour sur sourceforge, features reques, c'est un truc qui revient toujours.

*Un serveur SMTP en DMZ par exemple

[tomtom]

La règle iptables à ajouter pour assurer le nat sur la bonne interface de sortie en fonction de l'adresse source est relativement enfantine.
Je ne me rends pas compte de ce que ça représente à ajouter dans l'interface d'IPCop, mais ça ne doit pas être sorcier non plus.. .

Le faire à la main avec un script de 3 lignes peut être une bonne solution de dépannage si un besoin important existe (je pense avoir déja donné le genre de règles à applique sur ces forums, mais ce n'était pas récent).

Code: Tout sélectionner

iptables -t nat -I POSTROUTING -o IFACE_RED -s @ip_serveur_dmz -j SNAT --to-source @ip_publique_a_utiliser


ne devrait pas être loin du compte....

t.

[tomtom]

Une recherche avec les termes "alias red SNAT" doncn tout de suite au moins 3 réponses pertinentes

t.

[dracossan]

Merci pour vos reponses, mais je pensais pas cree une petite polemique ...

Juste pour finir, aucune experience dans la virtualisation de IPCOP ?

Je vais tester les alias ainsi que les regles IPTABLE, mais en cas de probleme ou de "lourdeur" d'admin, j aimerais tester cette autre solution.

J'ai cru voir quelque info sur de l'IPCOP sur WMWARE, et ce que quelqu un a deja essaye ?

Merci.

[tomtom]

Ben je ne vois pas pourquoi ça ne marcherait pas, mais j'ai aussi un peu de mal à voir l'interet.

Un firewall, surtout avec l'architecture que tu decris, est un équipement sensible, et qui a besoin de performances au niveau des interfaces réseau.

Aller se créer des interfaces virtuelles dans une machine virtuelle, ça ne me semble pas l'idéal.
Par ailleurs, cela ne répondra pas directement à ton besoin, car tu auras alors plusieurs DMZ, ce qui n'est pas forcement ton but.
Et il faudra te mefier dans l'architecture que tu vas créer, avec plusieurs passerelles vers internet etc..

Bref, la solution en alias red me semble la plus simple ! Surtout si tu n'as pas vraiment besoin de sortir vaec des adresse sparticulières, ce qui est souvent le cas (sauf serveur mail on l'a vu)

t.

[dracossan]

Au niveau du serveur j'ai prevu un dual-opteron serie 2000 avec 4 go de ram avec 4 connections Giga, un peu comme celui la:
http://h10010.www1.hp.com/wwpc/us/en/en/WF06a/15351-15351-3328412-241644-241475-3186080.html

je pense que cela devrait suffir dans le cas ou un seul IPCOP doit tout faire ou dans le cas ou je test la virtualisation.

L'interet: une seul place dans le rack, et gain d'electricite. Je trouve dommage de devoir prend 8U si je dois utiliser 8 serveur ipcop different ... ( plus de consomation elect, et de clim ... )

et ce que tu penses que cela est trop juste au niveau puissance ?

merci de vos infos

[ccnet]

Je ne l'ai jamais fait (ipcop sur VMWare) mais pour un firewall je ne le ferai pas non plus.
Dans l'ordre j'utiliserai les alias sur RED puis iptables si ce n'est pas satisfaisant.
La complication de l'architecture avec de multiples points d'acès et passerelles ne me parait pas aller dans le sens de la fiabilité d"administration. Plus c'est compliqué plus le potentiel d'erreur est élevé.

[tomtom]

Tout à fait d'accord avec ccnet.

Ce n'est pas tant la puissance de la machine qui est en cause, mais surtout la complication inutile de l'architecture (utiliser 1 firewall par adresse ip !!!), quadn un seul firewall peut largement faire le boulot tout seul (surtout avec la mahine que tu annonces !).

Pour ce qui est de la virtualisation, je ne sais pas comment se comportent les interfaces réseau virtuelle dans VMWare, c'est surtout dans c esens que je trouve la mutualisation un peu dangereuse, mais seuls des tests peuvent répondre.


t.