Bonjour a tous,
Je suis un débutant sur ipcop, je souhaite remplacer un firewall sous Freesco par ipcop qui me semble etre plus riche et plus avancé.
Mais voila quand je remplace le Fw existant par ipcop je n'ai plus accés a internet a partir de la dmz.
Je pense que c'est un problème de route.
j'ai installé ipcop ROUGE , ORANGE et VERT
Mon entreprise dispose de 32 adresses fixe Wan X.X.X.192 a X.X.X.223.
X.X.X.222 est la passerelle d'acces a internet (Routeur)
nos serveurs sont dans la DMZ(Orange X.X.X.193) X.X.X.194, X.X.X.195,...
Les machine dans le Lan sont (Vert 10.1.2.254) Net=10.1.2.0/24
Voici le detail:
ROUGE inet addr:X.X.X.221 Bcast:X.X.X.223 Mask:255.255.255.252
ORANGE inet addr:X.X.X.193 Bcast:X.X.X.223 Mask:255.255.255.224
VERT inet addr:10.1.2.254 Bcast:10.1.2.255 Mask:255.255.255.0
Je précise que j'ai une machine dans la dmz (X.X.X.194) et que j'ai autorisé cet machine en acces externe, mais malheureusement cela ne marche pas.
Quelqu'un aurai une piste pour résoudre mon problème?
Ou une piste a suivre.
merci
Besoin d'aide mise en service
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
Besoin d'aide mise en service
par Codevert » 06 Nov 2009 23:12
- Codevert
- Matelot
- Messages: 3
- Inscrit le: 06 Nov 2009 12:57
par jdh » 06 Nov 2009 23:32
Etre débutant devrait imposer la lecture du newbie-kit et la recherche des points communs avec des schémas ou problématiques exposées.
Le newbie-kit parle d'une condition NECESSAIRE et indispensable sur l'adressage des différents réseaux. Le schéma indiqué ne respecte pas cette contrainte pourtant logique. D'où problème. Et c'est moulte fois rappellé ici !
Par ailleurs, on ne peut qu'être choqué de voir 32 adresses ip publiques attribués (et gaspillés).
Il a été rappellé encore cette semaine qu'ipcop ne gère pas, dans l'interface, ce cas de figure. Même s'il y a une solution qui consiste à modifier à la mano un script, cela n'est pas très adapté de ce fait.
Le newbie-kit parle d'une condition NECESSAIRE et indispensable sur l'adressage des différents réseaux. Le schéma indiqué ne respecte pas cette contrainte pourtant logique. D'où problème. Et c'est moulte fois rappellé ici !
Par ailleurs, on ne peut qu'être choqué de voir 32 adresses ip publiques attribués (et gaspillés).
Il a été rappellé encore cette semaine qu'ipcop ne gère pas, dans l'interface, ce cas de figure. Même s'il y a une solution qui consiste à modifier à la mano un script, cela n'est pas très adapté de ce fait.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Codevert » 07 Nov 2009 00:07
Merci pour votre réponse rapide.Pour vous répondre les 32 adresses ip que nous avons, date d'une attribution il y a plus de 17 ans.
Je n'ai rien contre une modification à la mano si je comprend ce que je fais.
Merci.
Dommage j'aurai bien aimé tester cette solution.
Je n'ai rien contre une modification à la mano si je comprend ce que je fais.
Merci.
Dommage j'aurai bien aimé tester cette solution.
- Codevert
- Matelot
- Messages: 3
- Inscrit le: 06 Nov 2009 12:57
par ccnet » 07 Nov 2009 01:02
Et avec 32 ip publiques on peut sérieusement considérer que tout cela est ingérable avec ipcop.
Non, tel que livré et si l'adressage est correct, ipcop ne nécessite pas l'ajout de route. Si l'on doit gérer des routes supplémentaires manuellement, c'est que ipcop n'est déjà plus la solution qui convient.
Je pense que c'est un problème de route.
Non, tel que livré et si l'adressage est correct, ipcop ne nécessite pas l'ajout de route. Si l'on doit gérer des routes supplémentaires manuellement, c'est que ipcop n'est déjà plus la solution qui convient.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 07 Nov 2009 01:34
Je maintiens
- qu'ipcop n'est pas conçu pour être utilisé de cette façon : un adressage est à modifier (cf newbie-kit),
- que si la correction 1 est réalisée, cela ne suffirait vraisemblablement pas car ipcop ne réalise pas, dans l'interface, ce qui serait nécessaire,
- que si un script était manuellement modifié, cela rend difficilement maintenable ipcop (sans compter que l'addons BOT obligatoire n'est peut-être compatible avec ce type de modif).
Je confirme que ce n'est aucunement en jouant sur des routes que l'on redresse un schéma bancal.
Il est probable que pfSense est à même de gérer cette config mal conçue. Il sait faire ce que ne sait pas faire ici ipcop.
J'ajoute que ce schéma est mal conçu en raison du non respect de la RFC1918.
Il est probable qu'un changement d'adressage, logiquement nécessaire, aurait des conséquences sur le fonctionnement des serveurs.
Bref, casse g.u.e.u.l.e ...
On aimerait comprendre les arguments de la logique d'un choix de Freesco (alias "Free-Cisco").
(D'ailleurs, on choisit un firewall non par ses meilleures possibilités mais parce qu'il a les capacités de gérer une situation, ici ipcop n'est pas conçu pour cette situation sauf à la changer !).
- qu'ipcop n'est pas conçu pour être utilisé de cette façon : un adressage est à modifier (cf newbie-kit),
- que si la correction 1 est réalisée, cela ne suffirait vraisemblablement pas car ipcop ne réalise pas, dans l'interface, ce qui serait nécessaire,
- que si un script était manuellement modifié, cela rend difficilement maintenable ipcop (sans compter que l'addons BOT obligatoire n'est peut-être compatible avec ce type de modif).
Je confirme que ce n'est aucunement en jouant sur des routes que l'on redresse un schéma bancal.
Il est probable que pfSense est à même de gérer cette config mal conçue. Il sait faire ce que ne sait pas faire ici ipcop.
J'ajoute que ce schéma est mal conçu en raison du non respect de la RFC1918.
Il est probable qu'un changement d'adressage, logiquement nécessaire, aurait des conséquences sur le fonctionnement des serveurs.
Bref, casse g.u.e.u.l.e ...
On aimerait comprendre les arguments de la logique d'un choix de Freesco (alias "Free-Cisco").
(D'ailleurs, on choisit un firewall non par ses meilleures possibilités mais parce qu'il a les capacités de gérer une situation, ici ipcop n'est pas conçu pour cette situation sauf à la changer !).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Codevert » 07 Nov 2009 09:39
Merci pour vos précisions.
Je suis entièrement d'accord avec vous, je ne souhaite pas de bidouilles, je met en place des systèmes simples et surtout fiable.
Ipcop sur CF semblait me convenir, mais je comprend et j'accepte vos reponses d'experts.
Je vais abandonner ipcop pour ce projet, mais je reste néanmoins très intéressé par ipcop pour l'avenir.
Merci encore de m'avoir évité des heures de travail...
Codevert.
Je suis entièrement d'accord avec vous, je ne souhaite pas de bidouilles, je met en place des systèmes simples et surtout fiable.
Ipcop sur CF semblait me convenir, mais je comprend et j'accepte vos reponses d'experts.
Je vais abandonner ipcop pour ce projet, mais je reste néanmoins très intéressé par ipcop pour l'avenir.
Merci encore de m'avoir évité des heures de travail...
Codevert.
- Codevert
- Matelot
- Messages: 3
- Inscrit le: 06 Nov 2009 12:57
par Franck78 » 07 Nov 2009 20:57
Hello
IPCop n'est pas adapté pour gérer 32 IP publiques. Sur orange, il y aura toujours du NAT et des transferts de ports. Strictement aucun intérèt.
Avec 32 IP donc 5 bits de masques, il est possible, sans trop perdre d'adresses, de faire deux/trois zones en utilisant correctement les masques.
IPCop n'est pas adapté pour gérer 32 IP publiques. Sur orange, il y aura toujours du NAT et des transferts de ports. Strictement aucun intérèt.
Avec 32 IP donc 5 bits de masques, il est possible, sans trop perdre d'adresses, de faire deux/trois zones en utilisant correctement les masques.
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité