Signature IP Unique

[aureliensm]

Bonjour,
Voici un schema de la situation :



Je vous explique la situation.
Tout se passe sur un LAN d'entreprise donc là, je ne sors pas vers internet.
D'un coté, on a des clients (sur la photo, il y en a que 2 mais en réalité, beaucou plus )
Ces clients se connectent à un serveur web et un serveur ftp partenaire sur le lan pour récupérer des infos.
Ce partenaire ayant ce serveur web et ftp, mets devant lui un firewall qui fait un filtrage d'@IP.
Le soucis est que si des clients, ne sont pas enregistrés sur le firewall alors ils ne peuvent pas récupérer les infos sur les serveurs. Normal !

Ce que je souhaite faire, c'est mettre quelque chose entre les clients et le firewall. Les clients passent par ce quelque chose et en sortant de ce quelque chose, les clients prennent tous l'@IP de ce quelque chose et au niveau du pare feu du partenaire, celui-ci ne voit plus qu'une seule @IP, donc ça résoud le probleme de filtrage.
Alors pour l'instant, j'ai trouvé 2 solutions qui marchent.

Mise en place d'un proxy. Le firewall ne voit que l'@IP du proxy donc c'est OK
Mise en place d'une machine linux avec des règles de NAT iptables. Le firewall ne voit que l'@IP de la machine linux donc c'est OK aussi.

Maintenant, je vous pose la question : Y-a t'il d'autres possibilités ???
merci d'avance

[ccnet]

Ici vous parlez d'une solution. Quel est le besoin fonctionnel exact ?
Autre chose que de contourner la politique de sécurité en place ?

[jdh]

Outre les clients il y a un firewall (d'entreprise) puis le serveur partenaire (web+ftp).

Le serveur partenaire ne doit réellement voir qu'une seule machine l'atteindre.
Car le firewall masque les ip réelles des clients internes.

Mais le firewall peut très bien incorporer un proxy qui fait du filtrage entre N clients internes ...

[aureliensm]

Pour répondre à jdh.
Dans mon cas dans l'entreprise, je ne peux toujours ni au firewall ni au serveur web et ftp
Le filtrage se fait au niveau du firewall donc la seule solution se fait entre les clients (si on peut appeler ça des clients, c'est plus que ça en réalité mais je peux pas détailler) et le firewall du partenaire. Dans tous les cas, tout est dans le LAN. Le serveur ftp et web du partenaire et son firewall donc dans le lan de l'entreprise.

Pour répondre à ccnet
Le besoin fonctionnement est en cas d'indisponibilité de certains clients et que les backups essaient de recuperer les infos sur le serveur web et ftp partenaire, ils peuvent pas, en cas de filtrage d'@IP. Mais comme j'ai dis, ce sont pas vraiment des clients (mais je peux pas trop dire ce que c'est).
Le besoin ici est lorsqu'on passe en backup, si certains clients ne sont pas déclarer dans le firewall, ils pourront rien récuperer alors qu'en faisant tout passer par quelque chose qui sortirait une seule @IP, on serait tranquille

[jdh]

La responsabilité de paramétrage d'un firewall est importante.
Le rôle du responsable est de veiller à ne pas être débordé par des besoins qui ne sont pas ceux de l'entreprise. Enfin c'est AMPSHA et c'est comme cela que je voie mon métier.


Ce fil ne me semble donc que très peu clair.

Si le besoin est bien un besoin de l'entreprise, il n'y a aucune difficulté à en parler au responsable du firewall qui agira promptement pour permettre le service.

[aureliensm]

c'est pas le problème ici de parler de la responsabilité de la configuration du firewall. Je ne peux pas vraiment expliquer le contexte dans lequel je travaille.
C'est beaucoup plus complexe que ce que j'ai expliqué dans la description. Maintenant, je pense avoir été assez claire sur le but de mon message.
Comment obtenir une signature ip unique pour tous les postes en meme temps ?
j'ai la solution du proxy et du nat qui marche très bien et je voulais savoir s'il y en avait pas d'autres, cest tout