Utilisation, fonctionnement d'une structure

[Cowboy]

Bonjour,

J'aimerais isoler une de mes salles avec un IPCOP en amont d'un switch.
J'ai installé IPCOP avec une interface Rouge (réseau local + internet + dhcp) et Vert (Réseau isolé).

De l'interface rouge, je peut me connecter aux deux IP, mais de la verte rien. Donc je me suis dit que peut être j'avais inversé les deux ... mais comment les identifier ?
J'aimerais aussi savoir comment activer le traffic entre les deux cartes, pour simplement bloquer quelque port ou ip ensuite.
Je m'y suis bien pris ?

[francois_web]

De l'interface rouge, je peut me connecter aux deux IP, mais de la verte rien. Donc je me suis dit que peut être j'avais inversé les deux ... mais comment les identifier ?

Je ne suis pas sûr d'avoir tout bien compris.

De façon générale, il est plus simple d'avoir deux cartes réseaux avec une puce différente, et ainsi, lors de l'installation, on affecte le pilote que l'on souhaite à l'interface que l'on veut pour VERT,ROUGE (et les autres). On peut ensuite aller vérifier ce qui a été affecté en lançant en console sur la machine IPCOP la commande setup puis le menu réseau/affectation des pilotes et des cartes. Mais dans ce cas, n'est-il pas possible tout simplement d'interchanger les branchements ?

J'aimerais aussi savoir comment activer le traffic entre les deux cartes, pour simplement bloquer quelque port ou ip ensuite. Je m'y suis bien pris ?

Le trafic est actif par défaut sur un IPCOP avec les règles de base définies. Ensuite, quelques "add-ons" permettent de filtrer / bloquer de façon plus fine (squidguard / BOT pour ne citer qu'eux)

[Cowboy]

J'ai deux cartes, une 3Com, détecté à l'installation, donc mise en verte.
Une autre qui est sur une carte SCSI qui à était détecté juste après la selection du mode "Green+Red".
3Com = verte
AMS = rouge

Si je branche tout comme il faut, je peut pinger et utiliser l'interface d'IP cop quand je suis sur l'interface verte mais pas d'internet et interface ultra lente.
Mais si j'inverse les deux cables, c'est le contraire.

Carte réseau morte ? pourtant il la détecté, installé et configuré.


AMD PCnet32 and AMD PCnetPCI(eth1) => http://www.smoothwall.net/support/hcg/?id=4 carte ok
J'ai essayé avec une autre carte, même symptome.

[Cowboy]

Quand je démarre IPCOP :

17:58:36 ipcop Starting RED device eth1.
17:58:50 ipcop IPCop started.


Pas de ETH0 ?

[Titofe]

La règle que j’ai pu remarquer avec les distribution comme IPCop ou SME, c’est qu’il attribué en 1er en carte réseau c’est celle qui est intégrer à la carte mère (Donc la Verte pour IPCop), puis après en partant du bas en remontant par le haut.

Pour ton problème de lenteur, je pense qu’il vient des paramètre que tu à rentrer pour Rouge et je pense surtout au DNS, regarde de ce cote là.

Titofe

[Cowboy]

J'avais mis les DNS oléane et en passerelle, le routeur ADSL.
Actuellement il n'y a rien, l'interface verte fonctionne, j'ai accès, mais de la rouge aucun signal.

Je met le serveur DNS ou l'ip de la rouge pour que la verte passe par la rouge ?

Toute les configuration que j'ai pu trouver sous IPCOP était de ce style la : http://www.ipcop.org/1.4.0/fr/install/html/decide-configuration.html#network-configurations


ici : http://www.ipcop.org/1.4.0/fr/install/html/initial-configuration.html

Vous n'avez à renseigner ces champs que si vous utilisez une adresse IP statique sur votre interface ROUGE.

J'ai justement une IP statique sur les deux interfaces
Verte : eth1 : 192.168.1.190
Rouge : eth0 : 192.168.1.191

[francois_web]

Verte : eth1 : 192.168.1.190
Rouge : eth0 : 192.168.1.191

VERT et ROUGE doivent être deux sous-réseaux différents.

http://forums.ixus.fr/viewtopic.php?t=37661&start=15

La salle devra donc avoir un plan IP propre, alors que ROUGE sera une IP du réseau lié au routeur (si j'ai compris la config...)

[Cowboy]

Je ne peut pas faire ca : ?

[Gesp]

Non il faut que chaque sous-réseau ait une plage distincte.

[Cowboy]

On est réélement obligé ? ipcop ne fonctionne pas comme un firewall ? Prendre le traffic d'un port et l'envoyer sur un autre en bloquant certain port/domaine n'est pas possible ?? oO

[edouardj]

si tu peux faire ça mais change l'adressage réseau du côté rouge ou vert: 192.168.1.0 et 192.168.2.0 par ex. Tu peux monter un VPN SSL sur ton ipcop pour que ton poste se connecte au green.

[Cowboy]

Justement, j'aimerais garder la même config IP des deux cotés, et faire simplement un filtre entre les deux machines.

[Gesp]

Tu peux définir 2 masques particulier pour séparer 19.168.1.X en 2 sous-réseaux mais vu que tes machines à isoler sont au milieu de la plage, ce n'est pas la solution la plus favorable.

[ccnet]

On est réélement obligé ? ipcop ne fonctionne pas comme un firewall ? Prendre le traffic d'un port et l'envoyer sur un autre en bloquant certain port/domaine n'est pas possible ?? oO

Je pense que vous devez remettre à plat la compréhension que vous avez des réseaux Ethernet et IP. Elle est manifestement erronée. Si vous regardez comment fonctionne un réseau IP sur Ethernet, et en particulier le protocole ARP, vous comprendrez pourquoi vos ne pouvez pas, par construction, faire cela.
Dans le monde ip, les sous réseaux sont justement fait pour segmenter les réseaux, c'est exactement votre problème et c'est exactement ce que les concepteurs des réseaux IP ont fait.

IPCOP est un firewall, ses fonctionnalités ne sont pas en cause dans votre cas. Votre compréhension des réseaux ne correspond pas à la réalité, c'est là votre problème. Sinon c'est tout simple.

Enfin, pour terminer, sur un firewall, bloquer un domaine ne veut rien dire.

A lire et à comprendre, quelques pages tous les jours : http://christian.caleca.free.fr. Ca ira beaucoup mieux ensuite. Un problème bien compris est à moitié résolu.

[jdh]

Comme cela a été indiqué, à plusieurs reprises ces derniers temps, IPCOP ne fonctionne pas en "bridge".

Donc
soit tu as des réseaux différents au sens ip,
soit tu te créés un "bridge" pour cela (p.e. doc d'Alexis de Lattre pour Debian).