gerer plusieurs ip publiques et le forward qui va avec

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

gerer plusieurs ip publiques et le forward qui va avec

Messagepar bruno_leite » 02 Avr 2008 11:14

bonjour,

on souhaites installer un serveur chez un hebergeur en mode hosting (ils fournissent la baie, l'electricité et l'accès internet avec plusieurs @ ip publiques)

je souhaites installer un serveur web avec plusieurs sites web (chaque site répondra à une adresse ip différente, il suffit de rajouter autant d'adresse ip que l'on veut sur la carte réseau et le IIS écoutera sur le port 80 de chaque ip)

et pour le FW je souhaites mettre un ipcop, mais est il capable de gérer plusieurs adresse ip publique en RED ? et aussi faire le forward par rapport à chaques ip publique ? (ex forwarder le port 80 de l'adresse ip publique x.x.x.x vers l'ip z.z.z.z et forwarder le port 80 de l'adresse ip publique y.y.y.y vers l'adresse ip a.a.a.a )

Merci d'avance et bonne journée à tous
Bruno

Rien de sert de courir, non ça ne sert à rien
Avatar de l’utilisateur
bruno_leite
Aspirant
Aspirant
 
Messages: 114
Inscrit le: 15 Déc 2003 01:00

Messagepar jdh » 02 Avr 2008 12:00

Ce genre de question est traité régulièrement ... puisque non lue par ceux qui pose des questions sans chercher au préalable sur le forum ...

* héberger plusieurs sites (nom de domaine différent) sur un même serveur :
C'est TOUT A FAIT possible avec une seule adresse ip. (Comment ferait les hébergeurs pros proposant des hébergements "mutualisés" ?). Et ceci autant avec Apache que IIS. Pourquoi alors en demander plusieurs ? (Plus jeune j'ai fait ce genre de demande à l'hébergeur alors que sur le site de dev interne ... je n'utilisais qu'une adresse !).

* dispachter le flux http selon le nom de domaine :
Ce N'EST PAS possible au niveau d'un firewall. Un "peu" de réflexion permet de comprendre pourquoi ! (Il serait intéressant de faire l'effort de comprendre pourquoi ...)

C'est possible au niveau d'un (reverse-)proxy. Apache permet de le faire, très facilement, avec mod_proxy.

* gérer plusieurs adresses ip publiques (Red) sur Ipcop :
Ipcop n'est pas prévu pour. Il est surement possible de faire les modifs nécessaires à la main.




(Un serveur ou 2 ?)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar bruno_leite » 02 Avr 2008 12:19

Merci de la réponse, mais tu me sembles bien enervé.....

Primo j'ai fait des recherches sur le forum, mais je n'ai rien trouvé qui reponde à ma question.

* héberger plusieurs sites (nom de domaine différent) sur un même serveur :
C'est TOUT A FAIT possible avec une seule adresse ip. (Comment ferait les hébergeurs pros proposant des hébergements "mutualisés" ?). Et ceci autant avec Apache que IIS. Pourquoi alors en demander plusieurs ? (Plus jeune j'ai fait ce genre de demande à l'hébergeur alors que sur le site de dev interne ... je n'utilisais qu'une adresse !).


Je n'ai jamais dit que ce n'était pas possible, j'ai juste dit que je veux que chaque site ait son ip (je sais que les hebergeurs ont une seule adresse sur le serveur et tous les sites mutualisés ils jouent sur avec les serveurs dns pour router les demandes ....


* dispachter le flux http selon le nom de domaine :
Ce N'EST PAS possible au niveau d'un firewall. Un "peu" de réflexion permet de comprendre pourquoi ! (Il serait intéressant de faire l'effort de comprendre pourquoi ...)


!!!!! ah j'ai demandé ça ????? avant de reprocher que les gens ne cherchent pas il serait souhaitable de lire leur post avant de répondre.
Je n'ai JAMAIS demandé de dispatcher du flux http par nom de domaine, j'ai demandé un dispatch par adresse ip ce qui n'est pas tout à fait la même chose.......

j'ai un minimum de connaissance réseau (j'ai un vpn entre deux ipcop qui fonctionne en prod, le dhcp dessus, squidguard, et openvpn avec deux roadwarrior le tout sur le même ipcop et je gère 3 serveurs AD, 1 sql, 2 exchanges, 1 IIS, 1 passerelle smtp sous ubuntu et postfix, 2 lignes sdsl et 2 adsl avec un routage de service)
donc je sais un peu comment ça marche

Donc si tu es de mauvaise humeur désolé pour toi mais je ne suis pas ton souffre douleur JDH.
Bruno

Rien de sert de courir, non ça ne sert à rien
Avatar de l’utilisateur
bruno_leite
Aspirant
Aspirant
 
Messages: 114
Inscrit le: 15 Déc 2003 01:00

Messagepar ccnet » 02 Avr 2008 12:48

1. Vous n'êtes le souffre douleur de personne.
2. Il est évident que vous n'avez pas cherché ou que vous avez mal cherché. Je sais de quoi je parle puisque je répond régulièrement à cette question, grâce à la réponse fournie ici par un autre d'ailleurs. Cette question est un marronniers comme disent le journalistes
3. Il est assez assommant à la longue de voir que le travail fait n'est pas ou peu utilisé alors que les réponses sont disponibles.

et pour le FW je souhaites mettre un ipcop, mais est il capable de gérer plusieurs adresse ip publique en RED ? et aussi faire le forward par rapport à chaques ip publique ? (ex forwarder le port 80 de l'adresse ip publique x.x.x.x vers l'ip z.z.z.z et forwarder le port 80 de l'adresse ip publique y.y.y.y vers l'adresse ip a.a.a.a )


Pour, néanmoins, vous répondre précisément je vous confirme la réponse de JDH : ipcop n'est pas fait pour cela. Il gère mal, de façon standard, cette configuration. Deux solutions s'offrent à vous. Utiliser un autre produit et Pfsense fera cela très bien.

Utiliser ipcop à la marge ce qui demande des modifications dans /etc/rc.d/rc.firewall

Exemple :
IP interne sur green : 192.168.1.254

IPs Publiques : 213.41.16.217 / 255.255.255.240

Dans /etc/rc.d/rc.firewall, ajouter la ligne suivante pour chaque serveur :

/sbin/iptables -t nat -A REDNAT -s ip_local_dmz -o $IFACE -j SNAT --to-source ip_public

juste avant la ligne:

/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE


Exemples :

/sbin/iptables -t nat -A REDNAT -s 192.168.1.1 -o $IFACE -j SNAT --to-source 213.41.16.219

/sbin/iptables -t nat -A REDNAT -s 192.168.1.3 -o $IFACE -j SNAT --to-source 62.161.X.X2
/sbin/iptables -t nat -A REDNAT -s 192.168.1.4 -o $IFACE -j SNAT --to-source 62.161.X.X3
/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE

Vous obtiendrez ainsi un NAT 1:1 comme on dit dans Pfsense ou un nat statique comme on dit chez Checkpoint.

J'ai les deux solutions en production. Je préfère celle de Pfsense pour une évidente clarté d'admistration. La solution IPCOP, bien que parfaitement fonctionnelle, échappe à l'administration normale ce qui n'est jamais bon et ne va pas dans le sens de la fiabilité.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 02 Avr 2008 14:14

Il est exact qu'une question n'est pas le dispatch selon le domaine. Cela dit, c'est souvent la question qui suit "héberger plusieurs sites".

* "Demander plusieurs ip" est une question d'argent (et de gaspillage).

Les hébergeurs pros, tu le sais, le font. C'est déjà bien. Tu ignores que ce n'est certainement pas avec du "routage dns" mais tout simplement avec du "virtual host" (en Apache comme en IIS).

Comme je l'ai dit, dans une précédente société, j'ai fait moi-même cette demande (et avec de l'argent je l'ai obtenu). Mais cela n'a aucun intérêt aucun. Cela n'apporte aucune sécurité. Cela est du gaspillage tout simplement.

AMHA "plusieurs adresses" est inutile. (Je ne pense pas être seul)


* Il y a des fils portant sur la question "multiples adresses ip sur Red".

La réponse est la même : Ipcop n'est pas prévu pour cela.

Bravo à ccnet qui donne (même) les pistes ... permettant de bricoler. Et cela sera du bricolage. (sous-entendu "difficile maintenable").

Par ailleurs, j'ai du mal à voir l'intérêt d'un IPCOP dans le cas particulier : seul le filtrage (voire la redirection) serait nécessaire.



* Il y a des fils sur ces sujets sur le forum. Cela est parfaitement réel et concret. Ne le prends pas mal, cherches et tu trouveras ...

(Le terme des journalistes "marronnier" est bien vu !)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar bruno_leite » 02 Avr 2008 14:35

Merci pour les pistes,

que j'ai mal chercher je veux bien d'ailleurs voici le résultat d'une de mes recherches

http://img526.imageshack.us/img526/6479 ... copde9.jpg

et j'ai cliquer sur une bonne dizaine de post qui avaient un titre en correlation avec ma demande et pas trouvé la réponse que je cherchais

en effet les hebergeur font du virtualhost

pour ipcop donc ce sera du bidouillage, donc ce ne sera pas ce que je cherche (je n'aime pas le bidouillage en prod, uniquement pour mes connaissances personnelles)

pour ce qui est du prix et du gaspillage, je vous laisse regarder du coté d'un hebergeur (ovh pour ne pas le citer) ils font du housing et le tarif d'1/4 de baie avec 16 @ ip pour 400 euros et 100Mo de bande passante c'est pas la mort (on paye 450 euros chez oléane pour une sdsl 2 mo/ 2mo...)

Du coup je peux mettre un serveur sous apache ou iis mettre un FW en place et router mes noms de domaines vers ces ip, pour la sécurité elle sera géré essentiellement sur le serveur web (antivirus , bloque des ports sur le serveurs autant que sur le FW etc).

bon je vais regarder du côté Pfsense, watchguard, cisco etc

Merci à tous
Bruno

Rien de sert de courir, non ça ne sert à rien
Avatar de l’utilisateur
bruno_leite
Aspirant
Aspirant
 
Messages: 114
Inscrit le: 15 Déc 2003 01:00

Messagepar tomtom » 02 Avr 2008 16:44

jdh a écrit:C'est TOUT A FAIT possible avec une seule adresse ip. (Comment ferait les hébergeurs pros proposant des hébergements "mutualisés" ?). Et ceci autant avec Apache que IIS. Pourquoi alors en demander plusieurs ? (Plus jeune j'ai fait ce genre de demande à l'hébergeur alors que sur le site de dev interne ... je n'utilisais qu'une adresse !).


Et https ??
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jdh » 02 Avr 2008 16:59

Très juste, la technique des virtual host n'est valable que pour http (et parce qu'est inclus dans l'entête de la requête le nom de domaine recherché).

Avec https, le trafic est crypté et, par conséquence, un serveur ne peut accéder au nom de domaine recherché.

Ma réflexion ne vaut donc que pour http c'est à dire des sites web publics.


(Le contournement est donc, soit utiliser plusieurs adresses ip, soit utiliser des ports différents (et non le 443 standard).


(Comme d'habitude, l'article 1 s'applique :lol: )
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron