hij is of het probleem!!!
Titofe
Débat sur une architecture réseau.
Modérateur: modos Ixus
53 messages
• Page 4 sur 4 • 1, 2, 3, 4
par Titofe » 28 Mai 2007 12:31
Bonjour,
Je reviens sur ce post, non pas pour en remettre une couche, mais pour un compte rendu de ce que j’ai fait depuis et surtout enlever des doute. (Pour ceux qui ce dise pourquoi pas avant, j’avais pu la tète à ça, et à la fin mes propos ne relatai plus les fait …)
Donc aujourd’hui, ceux depuis mon dernier post sur ce forum, je n’utilise plus cette configuration.
Sinon juste pour revenir sur certain doute :
Quand j’avais créé cette architecture, il m’avait étais reprochais de ne pas savoir le rôle d’une DMZ et que SME en mode serveur et passerelle relier à la ZONE Vert d’IPCop créer un mauvais acheminement des paquets.
Pour la ZONE dite DMZ, quand j’avais créé cette architecture j’avais créé des règle avec BlocOutTraffic (Addons qu’on peut rajouter à IPCop qui permet d’ouvrir ou de fermer des ports sur les différentes interfaces réseaux d’IPCop « Rouge, Vert, Bleu et Orange ») ceci afin de fermer tout accès de l’interface réseau de SME (celle relier au réseau Vert d’IPCop) vert IPCop.
Ex :
SME => Green IPCop : Fermé
Green IPCop => SME : Ouvert
« N’oubiez pas que SME est dans la DMZ »
Et d’origine sur IPCop :
DMZ => GREEN : Fermé
GREEN => DMZ : Ouvert
Comme on peut le voir aucune différence entre SME relier au Vert d’IPCop ou de la DMZ dans ça configuration d’origine.
Je dis ça en cas ou si on estime qu’il y a un problème de sécurité, car si il y a avec SME relier à Green sur IPCop, il y avait donc avant avec la DMZ.
Maintenant pour le problème d’acheminement de paquet, il est juste de dire qu’il y en a un si on on fait comme ceci :
IPCop :
IP : 192.168.1.1
Masque : 255.255.255.0
SME
IP : 192.168.1.2
Masque : 255.255.255.0
Pour régler ce problème il suffit de faire comme ceci :
IPCop :
IP : 192.168.1.1
Masque : 255.255.255.128
Ce qui permet dans cet exemple : 126 hôtes disponibles
Sous-réseau 192.168.1.0 – Adresse de début / fin 192.168.1.1 / 192.168.126 – Broadcast 192.168.1.127
SME :
IP : 192.168.1.129
Masque : 255.255.255.129
Ce qui permet dans cet exemple : 126 hôtes disponibles 192.168.1.129/192.168.1.254
Sous-réseau 192.168.1.128 – Adresse de début / fin 192.168.1.129 / 192.168.254 – Broadcast 192.168.1.255
Faite le test …
Voila.
Titofe
Je reviens sur ce post, non pas pour en remettre une couche, mais pour un compte rendu de ce que j’ai fait depuis et surtout enlever des doute. (Pour ceux qui ce dise pourquoi pas avant, j’avais pu la tète à ça, et à la fin mes propos ne relatai plus les fait …)
Donc aujourd’hui, ceux depuis mon dernier post sur ce forum, je n’utilise plus cette configuration.
Sinon juste pour revenir sur certain doute :
Quand j’avais créé cette architecture, il m’avait étais reprochais de ne pas savoir le rôle d’une DMZ et que SME en mode serveur et passerelle relier à la ZONE Vert d’IPCop créer un mauvais acheminement des paquets.
Pour la ZONE dite DMZ, quand j’avais créé cette architecture j’avais créé des règle avec BlocOutTraffic (Addons qu’on peut rajouter à IPCop qui permet d’ouvrir ou de fermer des ports sur les différentes interfaces réseaux d’IPCop « Rouge, Vert, Bleu et Orange ») ceci afin de fermer tout accès de l’interface réseau de SME (celle relier au réseau Vert d’IPCop) vert IPCop.
Ex :
SME => Green IPCop : Fermé
Green IPCop => SME : Ouvert
« N’oubiez pas que SME est dans la DMZ »
Et d’origine sur IPCop :
DMZ => GREEN : Fermé
GREEN => DMZ : Ouvert
Comme on peut le voir aucune différence entre SME relier au Vert d’IPCop ou de la DMZ dans ça configuration d’origine.
Je dis ça en cas ou si on estime qu’il y a un problème de sécurité, car si il y a avec SME relier à Green sur IPCop, il y avait donc avant avec la DMZ.
Maintenant pour le problème d’acheminement de paquet, il est juste de dire qu’il y en a un si on on fait comme ceci :
IPCop :
IP : 192.168.1.1
Masque : 255.255.255.0
SME
IP : 192.168.1.2
Masque : 255.255.255.0
Pour régler ce problème il suffit de faire comme ceci :
IPCop :
IP : 192.168.1.1
Masque : 255.255.255.128
Ce qui permet dans cet exemple : 126 hôtes disponibles
Sous-réseau 192.168.1.0 – Adresse de début / fin 192.168.1.1 / 192.168.126 – Broadcast 192.168.1.127
SME :
IP : 192.168.1.129
Masque : 255.255.255.129
Ce qui permet dans cet exemple : 126 hôtes disponibles 192.168.1.129/192.168.1.254
Sous-réseau 192.168.1.128 – Adresse de début / fin 192.168.1.129 / 192.168.254 – Broadcast 192.168.1.255
Faite le test …
Voila.
Titofe
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
par jdh » 29 Mai 2007 15:09
Couper le green en 2 segments ?
D'abord le masque de sous réseau est le même 255.255.255.128 (noté /25) ! Par contre il y a 2 n° de réseau 192.168.1.0 et 192.168.1.128.
Et comment discute 1 micro en 192.168.1.0/25 avec 1 micro en 192.168.1.128/25 ? (Sans compter que chacun aura sa propre passerelle : l'ipcop dans l'un des cas, SME dans l'autre).
Cela me parait bien trop compliqué : les américains disent KISS : Keep It Simple and ... Stupid.
AMHA IPCOP est seulement un firewall, et SME s'utilise soit seul et alors en gateway (avec 2 cartes) soit avec un firewall et alors en mode standalone (avec 1 seule carte).
AMHA il est (toujours très) MAUVAIS de créer des court-circuits.
D'abord le masque de sous réseau est le même 255.255.255.128 (noté /25) ! Par contre il y a 2 n° de réseau 192.168.1.0 et 192.168.1.128.
Et comment discute 1 micro en 192.168.1.0/25 avec 1 micro en 192.168.1.128/25 ? (Sans compter que chacun aura sa propre passerelle : l'ipcop dans l'un des cas, SME dans l'autre).
Cela me parait bien trop compliqué : les américains disent KISS : Keep It Simple and ... Stupid.
AMHA IPCOP est seulement un firewall, et SME s'utilise soit seul et alors en gateway (avec 2 cartes) soit avec un firewall et alors en mode standalone (avec 1 seule carte).
AMHA il est (toujours très) MAUVAIS de créer des court-circuits.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Wizard_Spike » 29 Mai 2007 17:44
J'avais un peu lu ce post mais vu mon retard, je n'avais pas posté de réponse. Maintenant qu'il est remonté, j'en profite
hum... c'est louche...
Pourquoi cherches-tu à créer 2 sous-réseaux différents sur ton LAN ? (partie verte)
certaines machines vont donc utiliser IPCop comme passerelle, et les autres vont utiliser SME comme passerelle, c'est cela ?
Tu les condamnent également, comme l'a dit JDH, à isoler les deux sous-réseaux, qui ne pourront pas discuter entre eux...
A ce moment là, pourquoi ne pas créer ainsi 2 réseaux physiques différents ?
On pourra noter que le réseau dernière la SME est très protégé ^^! pas moins de 2 pare-feux le séparent de l'internet.
Mais je ne suis pas sûr que ce soit réellement ce que tu recherches.
Pourrais-tu nous rappeler quelles seront les fonctions de ta SME ? à quoi va-t-il servir EXACTEMENT.
On tourne autour du pot à savoir comment arranger ton réseau, mais on ne sais pas quel est le besoin (ou alors j'ai manqué un épisode).
Wizard
hum... c'est louche...
Pourquoi cherches-tu à créer 2 sous-réseaux différents sur ton LAN ? (partie verte)
certaines machines vont donc utiliser IPCop comme passerelle, et les autres vont utiliser SME comme passerelle, c'est cela ?
Tu les condamnent également, comme l'a dit JDH, à isoler les deux sous-réseaux, qui ne pourront pas discuter entre eux...
A ce moment là, pourquoi ne pas créer ainsi 2 réseaux physiques différents ?
On pourra noter que le réseau dernière la SME est très protégé ^^! pas moins de 2 pare-feux le séparent de l'internet.
Mais je ne suis pas sûr que ce soit réellement ce que tu recherches.
Pourrais-tu nous rappeler quelles seront les fonctions de ta SME ? à quoi va-t-il servir EXACTEMENT.
On tourne autour du pot à savoir comment arranger ton réseau, mais on ne sais pas quel est le besoin (ou alors j'ai manqué un épisode).
Wizard
Linux c'est dur!! pfiou....
-
Wizard_Spike - Aspirant
- Messages: 125
- Inscrit le: 20 Août 2003 00:00
par Titofe » 29 Mai 2007 23:13
Désoler jdh, je ne me suis pas relu et je n’ai pas donc vu mon erreur. 
Je voulais écrire :
IPCop :
IP : 192.168.128.1
Masque : 255.255.128.0
SME :
IP : 192.168.200.1
Masque : 255.255.128.0
Wizar_Spike, aujourd’hui aucune, car comme je l’ai dit je n’utilise plus cette architecture, mais si ça te dit je veux bien expliquer ce que j’avais fait germer dans ma p’tit tête …
Titofe
Je voulais écrire :
IPCop :
IP : 192.168.128.1
Masque : 255.255.128.0
SME :
IP : 192.168.200.1
Masque : 255.255.128.0
Wizar_Spike, aujourd’hui aucune, car comme je l’ai dit je n’utilise plus cette architecture, mais si ça te dit je veux bien expliquer ce que j’avais fait germer dans ma p’tit tête …
Titofe
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
par Titofe » 30 Mai 2007 08:07
Apres lecture d’un post que j’ai vu sur le forum aujourd’hui, je tenais à dire que je suis revenu sur ce post juste pour dire qu’il était possible de le faire, mais en aucun cas je le conseiller, ceux pour plusieurs raison :
- Si vous cherche à avoir une DMZ, en suivant cette architecture vous en avez plus (Sauf bien sur en recréant les règles de sécurité qui étais établie sur IPCop d’origine),
- La complexité de cette architecture, déjà pour la mettre en place (voir le problème d’adressage IP) et toutes les règles de sécurité qui sont à revoir.
Donc pour conclure je ne la conseille pas.
Titofe
- Si vous cherche à avoir une DMZ, en suivant cette architecture vous en avez plus (Sauf bien sur en recréant les règles de sécurité qui étais établie sur IPCop d’origine),
- La complexité de cette architecture, déjà pour la mettre en place (voir le problème d’adressage IP) et toutes les règles de sécurité qui sont à revoir.
Donc pour conclure je ne la conseille pas.
Titofe
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
par jdh » 30 Mai 2007 09:09
Oh oh, un masque de 255.255.128.0 = /17 !
Cela fait 2^(32-17)-2=2^15-2=32766 micros par sous réseaux. Pas mal, il doit y avoir de quoi faire !
Un problème, souligné ou effleuré par Wizard, c'est le partage physique des switchs : un serveur dhcp répond à toutes demandes sur un même réseau ... physique sans se préoccuper des réseaux ... logiques !
Alors, là, on dégaine généralement la solution vlan et sa discipline de fer "tu ne débrancheras pas le cordon de brassage à l'aveuglette".
Non ! je dis trop compliqué.
Cela fait 2^(32-17)-2=2^15-2=32766 micros par sous réseaux. Pas mal, il doit y avoir de quoi faire !
Un problème, souligné ou effleuré par Wizard, c'est le partage physique des switchs : un serveur dhcp répond à toutes demandes sur un même réseau ... physique sans se préoccuper des réseaux ... logiques !
Alors, là, on dégaine généralement la solution vlan et sa discipline de fer "tu ne débrancheras pas le cordon de brassage à l'aveuglette".
Non ! je dis trop compliqué.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Titofe » 30 Mai 2007 18:51
jdh a écrit:Oh oh, un masque de 255.255.128.0 = /17 !
Cela fait 2^(32-17)-2=2^15-2=32766 micros par sous réseaux. Pas mal, il doit y avoir de quoi faire !
Je l’avais dit que je ne l’avais pas calculé pour un nombre de micro défini, mais juste pour qu’il puisse communiquer.
Et comme tu dit, ceci :
jdh a écrit:Un problème, souligné ou effleuré par Wizard, c'est le partage physique des switchs : un serveur dhcp répond à toutes demandes sur un même réseau ... physique sans se préoccuper des réseaux ... logiques ! »
Etais le probleme.
Et ça :
jdh a écrit:Alors, là, on dégaine généralement la solution vlan et sa discipline de fer "tu ne débrancheras pas le cordon de brassage à l'aveuglette".
La solution que je ne voulais pas.
jdh a écrit:« Non ! je dis trop compliqué. »
Moi aussi, d’ou pourquoi je ne l’ai pas continué, que je le veux ou non ce post de 4 page y ai pour quelque chose, mais je voulais juste dire qu’il était faisable, certes pas simple, mais faisable …
Titofe
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
53 messages
• Page 4 sur 4 • 1, 2, 3, 4
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité