Débat sur une architecture réseau.

[jdh]

Concernant ceux qui te dise que cette architecture est mauvaise, il faut ajouter
- dans ce post Stirner, et micjack
- dans un post cité, unnilennium qui écrit juste à la fin du message que tu rapelles "Encore une fois ce qui m'a fait bondir c'est la proposition de decompartimenter le orange et le vert en utilisant SME comme "viaduc" sans expliquer tout ce que tu as du mettre en ouevre derriere."

Tu ne sembles pas comprendre l'expression "deux chemins". On peut aussi dire "court-circuit". Tant que tu n'écouteras pas cela, tu ne peux pas comprendre pourquoi un ping ne fonctionne pas. D'ailleurs tu n'y réponds pas.


Sinon concernant SME.

SME est un ensemble COMPLET et intégré : user/mdp, mail, samba, http/ftp (ibay), et filtrage iptables dans la config "server+gateway".

J'ignore comment on peut répartir ces fonctions sur 2 serveurs (en gardant la même base d'utilisateurs). La question a déjà été posée sur ce forum. Je n'ai pas vu de réponses satisfaisantes.

[antolien]

Sinon je confirme que vert peux faire un Ping sur Orange, par contre le serveur SME en mode passerelle le refuse, mais en installant un poste client sur Orange je réussi, je vais chercher pourquoi pour SME.

Merci.

En mode serveur+passerelle, il y a des règles firewall d'activé sur sme, regardes les règles iptables, et configure comme il faut.

Sinon je vous trouve un peu tendu dans ce post.On peut discuter de nos points de vue sans s'enerver.
la remarque que j'ai faite était sur le shéma de marioysme. j'ai trouvé que son shéma n'était pas cohérent car le firewall est plutôt mal placé.

ce que je voulais dire aussi c'est qu'un serveur qui se trouve en orange a en général plusieurs services accessibles depuis l'exterieur, et si d'un point de vue théorique le serveur est vulnérable, le serveur se trouve dans le lan (c'est plutôt pratique, pas besoin de passer le firewall). alors que s'il était seulement dans la dmz, le lan est plus difficile a atteindre puisque ipcop bloque les ports dmz->lan. d'où l'intérêt d'une dmz. sinon en effet autant avoir un sme en mode gw+serveur seul.

Voilà c'est juste un point de vue.

[jibe]

Salut,

Si tu permets, Titofe, je n'ai pas trop étudié et donc pas critiqué le montage que tu donnais dans le topic de marioysme. Il n'empêche que je lui ai déconseillé de faire de même, et j'ai souvent dénoncé ceux qui, en associant Ipcop+SME, mélangeaient DMZ et LAN... jdh aurait certainement dû être un peu plus diplomate, mais mieux vaut se faire traiter de nul par quelqu'un qui essaie de t'aider que de ne voir que des gens qui ne disent rien et te laissent dans ta m*** Et avoue qu'en refusant d'admettre ce qu'il te disait dans le seul but de t'aider, tu ne l'as pas trop aidé à garder son calme. Quand on tente d'aider quelqu'un, il est un peu normal qu'on apprécie peu d'être contredit lorsqu'on est sûr de soi...

jibe (spécialiste du débat IPCOP/SME)

Ben... Le "spécialiste" ne comprend pas un truc
Je suis bien d'accord avec toi pour dire que ce "court-circuit" (je trouve le terme excellent ) DMZ <=>LAN est aberrant, mais je ne saisis pas bien ton histoire de ping qui prend deux chemins ? On n'a pas la même @IP sur les deux interfaces ?

Je n'ai peut-être pas assez réfléchi au problème, mais je pensais naïvement que, dans un pareil cas, un ping sur l'interface LAN de la SME passe directement, et un ping sur l'interface rouge (pour reprendre la terminologie Ipcop) passe par l'Ipcop, à l'aller comme au retour dans les deux cas ?

[jdh]

Je note :

IPCOP : Green : mac-ip1, adr-ip1 / Orange : mac-ip2, adr-ip2
PC Green : mac-pc, adr-pc
Srv en Orange double carte : Green : mac-sr1, adr-sr1 / Orange : mac-sr2, adr-sr2


Le PC en Green essaie de pinguer le serveur en Orange (adr-pc -> adr-sr2) :

- d'abord une requete ARP : qui a adr-sr2 ? c'est Ipcop (Green) qui répond "moi"
- paquet ICMP : mac source=mac-pc, mac dest=mac-ip1, ip source=adr-pc, ip dest=adr-sr2
- IPcop doit désormais traiter (sur Orange) :
- requete ARP : qui a adr-sr2 ? c'est le Serveur qui répond "moi"
- paquet ICMP : mac source=mac-ip2, mac dest=mac-sr2, ip source=adr-pc, ip dest=adr-sr2

Le serveur doit donc désormais répondre.

1er cas : le serveur n'a qu'une seule carte :
- d'abord requete ARP : qui a adr-pc ? c'est Ipcop (Orange) qui répond "moi"
- paquet ICMP reply : mac source=mac-sr2, mac dest=mac-ip2, ip source=adr-sr2, ip dest=adr-pc
- IPcop doit traiter mais il connaît déjà la bonne adresse mac (du PC)
- paquet ICMP reply : mac source=mac-ip1, mac dest=mac-pc, ip source=adr-sr2, ip dest=adr-pc

2me cas : le serveur a aussi une carte sur Green:
- d'abord requete ARP : qui a adr-pc ? c'est le PC qui répond "moi"
- paquet ICMP reply : mac source=mac-sr2, mac dest=mac-pc, ip source=adr-sr2, ip dest=adr-pc


En définitive (je suis désolé c'est un peu complexe !) :

Dans le cas 1 (1 seule carte) :

envoi : mac source=mac-pc, mac dest=mac-ip1, ip source=adr-pc, ip dest=adr-sr2
retour : mac source=mac-ip1, mac dest=mac-pc, ip source=adr-sr2, ip dest=adr-pc

Dans le cas 2 (2 cartes) :

envoi : mac source=mac-pc, mac dest=mac-ip1, ip source=adr-pc, ip dest=adr-sr2
retour : mac source=mac-sr2, mac dest=mac-pc, ip source=adr-sr2, ip dest=adr-pc


On voit qu'il n'y a pas de problème concernant les adresses ip : elles sont bien inversées entre l'aller et le retour.

Par contre, les couples d'adresses mac ne s'échangent pas correctement dans le cas 2 cartes : le retour ne vient pas de la même carte ... donc la pile TCP/IP va être perdue !!


Je pense avoir décrit précisément le mécanisme complet d'un simple ping. (Il faudrait rajouter la résolution DNS si on avait utilisé un nom DNS)

Le terme de "court-circuit" permet de penser à une analogie électrique ou hydraulique : le courant va au plus court ou au plus facile.

[Titofe]

Merci antolien,

Pour les messages qui devienne …, j’en suis vraiment désoler, mais rien de plus désagréable de s’entendre dire que tu es bête sans de réel fondement et donc vous poser la question pourquoi, la réponse est : parce que tu es bête … ?!? Ah …, je trouve que le débat à étais très court.

Sinon pour SME je penser comme toi, mais je voudrais faire d’autre test avant d’allez modifiez quoi que ce soit.

Pour revenir à mon schéma :

……………………......................................................……… Fermer -> ………..<- moins de10 Port Ouvert
………………………………….....................------------------------------------- Bleu -------------------------------------Réseau
…………………………......................…….|
…………………………......................…….|
………………………..............................|......................……… Fermer -> ………..<- moins de10 Port Ouvert
Web ---------- Rouge ---------- IPCop -------------------- Vert -------------------------------------Réseau
…………………………......................…….|
………………………...................…...…….|
…………………..................…..............|.................... 2 Port Ouvert -> …………<- 2 Port Ouvert ……………. Fermer ->………………………… <- 3 Port Ouvert
………………………...................…………..------------------------------------- Orange --------------------------SME--------------------Réseau Vert d’IPCop ---------------------

Comme on peut le voir la Zone Rouge vers la Zone Verte et Bleu est fermer, jusque la quoi de plus normal et maintenant regardons la Zone Orange.
La Zone Orange a 2 Port Ouvert vers la Zone Orange qui les renvois sur la SME, puis l’autre carte réseau de la SME est Fermer vers la Zone Verte qui elle est Ouvert vers la Zone Orange et par la carte réseau de la SME, et aussi par la configuration d’origine d’IPCop.
Bon je l’admets c’est très compliquer à lire donc à comprendre.
Moi je dis qu’il ne faut retenir que deux chose qui vois le réseau VERT, Personne et que vois le réseau VERT, par sa configuration d’Origine Rouge, Bleu et Orange, par moi SME dans la Zone Orange mais par derrière.

Je pense que je vais clos mon débat la dessus car à chercher à faire comprendre ma structure, je me suis rendu compte que ce qu’on me reprocher dans mon réseau étais de toute façon fait d’origine par IPCop …

Jibe j’étais entrain d’écrire ce message quand tu à fait le tien, je connais très bien tes raison pour l’association de IPCop et SME, je suis d’accord sur le principe, mais comme je lai dit on peut aussi détourner les choses en le fessant correctement, il me semble que beaucoup de contribution vienne de ce principe …

Sinon pour le différent avec jdh, très certainement j’y suis pour une bonne partie, mais excuse moi, je ne pense pas en être le seul …

Je ne chercher pas à savoir si ma structure étais dans les livre ou si elle allait devenir la structure de demain, je voulais juste savoir ou étais sa faille, chose qui na encore jamais étais dit (Je veux dire avec explication ou elle ce trouve), car à force de chercher et de m’expliquer je me suis rendu compte que le raccordement qui m’étais reprocher étais déjà la d’origine sur IPCop.

Par défault :

GREEN ---> IPCOP : ouvert
GREEN ---> ORANGE : ouvert
GREEN ---> BLUE : ouvert
GREEN ---> RED : ouvert


Donc si aujourd'hui ton architecture est telle que tu la décris uniquement pour des accés Green -->Orange elle semble inutile. Tu peux récupérer tes mails directement en passant par ton Ipcop.

Je pense utiliser cette architecture mais je n’ai pas encore pris le temps de voir les bons et les mauvais coté.

Sinon une question, donc je mais SME en « Serveur Seul » ou en « Serveur et Passerelle » ?


Titofe

[jdh]

Que l'on ne comprenne pas qu'il NE FAUT PAS mettre une machine avec 2 cartes dans une zone Orange, soit.

Que l'on ne veuille pas réfléchir pourquoi un ping ne fonctionne pas, soit.

Mais au moins que l'on me donne au moins une justification pour mettre une 2me carte en zone Green. (Ce n'était pas déjà posé par Stirner dès la première réponse)

[Titofe]

« Que l'on ne comprenne pas qu'il NE FAUT PAS mettre une machine avec 2 cartes dans une zone Orange, soit. »
Je suis vraiment désoler je ne comprends pas ou il ya un problème de mettre SME en Mode Serveur et Passerelle (donc 2 carte réseau), mais si tu veux bien me l’expliquer, merci.

« Que l'on ne veuille pas réfléchir pourquoi un ping ne fonctionne pas, soit. »
Encore désoler, mais il me semble mettre expliquer ; sinon se matin la 1er chose que j’ai fait est donc de comprendre pourquoi ce Ping sur le serveur ne fonctionner pas, ben c’étais tout simple, comme il étais relier au réseau Vert d’IPCop sa passerelle avait la même plage d’IP que le réseau Vert, mais quand je fessais un Ping sur sa carte réseau de devant je ne passais pas par lui et donc refus, j’ai changer l’adresse de sa passerelle sa fonctionne, je lui remet l’adresse du réseau vert sa fonctionne plus, voila, désoler mais pour les terme technique je ne suis pas très fort.
Ex :
Adresse du serveur sur orange 192.168.61.200
Adresse du même serveur sur vert 192.168.62.210
Adresse du réseau vert 192.168.62.250
Ping refusé.

Adresse du serveur sur orange 192.168.61.200
Adresse du même serveur sur vert 192.168.63.210
Adresse du réseau vert 192.168.62.250 (Bien sur SME n’ai plus branché dessus)
Ping accepté.
Donc problème régler.

« Mais au moins que l'on me donne au moins une justification pour mettre une 2me carte en zone Green. (Ce n'était pas déjà posé par Stirner dès la première réponse) »
Dans mon esprit certainement un peux tordu, je me suis dit que SME étais mieux protéger en « Serveur et Passerelle » qu’en « Serveur seul », donc comme je préférais la 1er option il se retrouve avec deux carte réseau.
Ceci me ramène à ma dernière question de mon dernier message, comment d’âpres vous je dois mettre mon serveur ?

Donc depuis que je peux atteindre mon serveur avec le Ping sur la zone orange, j’ai testé la configuration que ma proposer Stirner, et il à raison je retrouve presque tout …
Donc je pense que je vais pousser mes teste, et très certainement opté pour cette option.
(Stirner, je suis désoler, mais j’avais lu ton message, mais pas …, je crois, chercher à comprendre.)

Merci.

[Stirner]

Salut,


@ Titofe :

Ne soit pas susceptible et ne t'emporte pas tant sur les réfléxions de jdh. Voila un peu plus d'un an que je squate Ixus et j'ai fini par comprendre les réactions de jdh, ne lui en tien pas rigueur et essaye de profiter de son expérience (et celle des autres) pour progresser.

Mais surtout fais attention à tes réponses, ne voit aucune méchanceté, en particulier quand tu contredis, non pas une idée ou une philosophie, mais une règle établi, qui si pour toi ellle prend la forme d'un axiome doit malgrés tout re respecté, pour garantir la périnité de ton système. Porte également attention aux questions qui sont considérées comme relevant d'un manque de recherche et pire d'attention :

Sinon une question, donc je mais SME en « Serveur Seul » ou en « Serveur et Passerelle » ?

Je suis sincèrement surpris de ne pas avoir vu jdh faire un bon à cette question : dés l'instant ou tu n'as plus qu'une seule carte dans ton serveur : Serveur uniquement


(bon la c'est vrai j'affirme, j'affirme et plus j'affirme plus le doute monte si un ponte pouvais confirmer)

En écrivant ces mots une reflexion me viens, tu dois même pouvoir installer SME 7 en serveur seul avec deux cartes réseaux et par la même profiter du bonding.


@ jdh :

Ton expliquation sur le ping est trés interressante.



@+

[Titofe]

Merci.
Pour la 1er partie, tu à très certainement raison, mes ce sont les mots qui on était utilisé qui m’on pas plus, sinon je reconnais qu’il dur de reconnaître c’est tord …Désoler.

« tu dois même pouvoir installer SME 7 en serveur seul avec deux cartes réseaux et par la même profiter du bonding. »
Je confirme.

Donc en mettant ma SME dans la DNZ, je peux donc l’installer en mode serveur seul, est SI j’ai bien compris c’est ce qui encore conseiller !!!

Merci à tous …

Titofe

[Stirner]

RE:

Nos posts ce son croisés, pas de problème ja vais juste lancer un DOS sur ton serveur, récupérer l'intégralité de tes données est les diffuser sur le net ( je plaisante pas taper).

Que tu installes ton serveur avec deux cartes réseau en orange pour pouvoir profité d'une install en serveur et gateway et ainsi avoir un niveau de sécurité plus important pourquoi pas, (pas de troll je vous en pris, de toute façon j'ai toujours raison il est dons inutile de discuter ). Mais ne relis pas ton serveur sur le green de ton Ipcop : c'est inutile et ça tu l'as compri.

voici l'architecture (somme toute classique) que je te propose :

Code: Tout sélectionner

                |-----------> Orange : 10.0.0.1---------> SErveur SME serveur Seul : 10.0.0.2 (IP fixe)
                |
net------> IPCOP-------> Green : 192.168.0.100-----> Tes machines
                |
                |----------->Bleu : 192.168.2.1---------> Tes Machines


Sur ton IPcop tu installe BOT est tu crés les règles qui vont bien en particulier pour sécuriser Orange est n'ouvrir ques les ports qui te sont nécessaire.

Un autre point si tu utilise ta SME comme CPD je te recommande un second serveur dans Green. En effet un CPD dans orange c'est pas tip top sécurité : Axiome (comme ça on évite les explications )

@+

[Titofe]

Merci, je regarde ça de se pas ...

[Titofe]

Euhhh, que veut dire CPD ?

Sinon voila, ma nouvelle architecture. (En test)

Pour le Vert :
IPCop -> Vert -> Réseau

Pour le Bleu :
IPCop -> Bleu -> Réseau

Pour le Orange :
IPCop -> Orange -> SME en Serveur Seul

Mais j’ai tout de même un doute à laisser ma SME en Serveur Seul sur Orange, car il me sembler avoir lu quelle par que SME en « Serveur et Passerelle » se protéger et en « Serveur Seul » elle ne compté que sur la protection du réseau au quelle elle appartenait, pouvais me confirmer mes dire ?

Merci.

Titofe

[Stirner]

Salut,

CPD : Controlleur Principal de Domaine ( oui je sais ça fait un peu NT4 Serveur )


Plus Sérieusement tu as fait le choix d'Ipcop+SME (pas de troll) pour des raisons qui te sont propres. AMHA il veut mieux dans ce cas confier la sécurité de ton raiseau à ton IPCOP mais pour cela il faut que tu sois sur de parfaitement maitriser la bête.

J'avous en revenche que je n'ai toujours pas trés bien compris (je parle en terme de sécurité du serveur pas pour le raiseau) la différence entre serveur+gateway et serveur seul. De facto si Ipcop se charge du filtrage depuis le net cela ne cré-t-il pas un double emploi avec les règles de SME ( si elle est en serveur Gateway) ?

[tomtom]

Mais j’ai tout de même un doute à laisser ma SME en Serveur Seul sur Orange, car il me sembler avoir lu quelle par que SME en « Serveur et Passerelle » se protéger et en « Serveur Seul » elle ne compté que sur la protection du réseau au quelle elle appartenait, pouvais me confirmer mes dire ?

Non, il a été confirmé dans un autre post (la flemme de le chercher) que les règles de protection netfilter s'appliquent aussi en mode serveur seul.

Par contre, il faut bien veiller à coordonner les règles locales appliquées par SME toute seule et celles d'ipcop au niveau des transferts de ports.

Sans vouloir entrer dans le troll, cette architecture me semble très cohérente !


t.

[tomtom]

En effet un CPD dans orange c'est pas tip top sécurité : Axiome (comme ça on évite les explications )

Hi hi

Postulat même

t.