Demande de conseils

[loberty]

Bonjour,

Je souhaite installer un IPCOP sur un réseau d'entreprise (25 postes sous Windows 98, NT4, 2000 et XP) actuellement derrière un firewall SYMANTEC (version boîtier 200R).
Il y a un seul plan d'adressage.
La connexion au net est de type ADSL via modem ethernet (pas routeur).

Je doit aussi héberger 2 serveurs : web et ftp, je les met en ORANGE ?

Depuis l'extérieur, on doit pouvoir accéder à certaines stations (applications métiers spécifiques) via pcAnywhere ou VNC. Je les met en ORANGE ?
Elles devront aussi être accessible depuis des stations sur GREEN.

Toujours depuis l'extérieur je dois pouvoir accéder à des stations de travail qui seront sur GREEN via VNC et pcAnywhere. Il n'y a pas de difficultés à cela ?

Le plan d'adressage de ORANGE doit il être différent de celui de GREEN ?

Tout cela vous semble t'il correcte ?

Merci pour vos réponses !

[vaneay]

Bonjour,

Je souhaite installer un IPCOP sur un réseau d'entreprise (25 postes sous Windows 98, NT4, 2000 et XP) actuellement derrière un firewall SYMANTEC (version boîtier 200R).
Il y a un seul plan d'adressage.
La connexion au net est de type ADSL via modem ethernet (pas routeur).

oui tu choisi la configuration RED + GREEN +ORANGE
et red en PPPoE je suppose vu que c'est un simple modem ADSL Ethernet.
n'oublie pas de renseigner tes login et mot de passe dans l'interface de configuration d'IPCOP ( https://<adresse ip green>:445/ ) depuis une station dans le réseau green.

Je doit aussi héberger 2 serveurs : web et ftp, je les met en ORANGE ?

Tout à fait exact.
et tu ajoute les ports à transferer dans la rubrique "transfert de ports"

Depuis l'extérieur, on doit pouvoir accéder à certaines stations (applications métiers spécifiques) via pcAnywhere ou VNC. Je les met en ORANGE ?
Elles devront aussi être accessible depuis des stations sur GREEN.

c'est le but premier de la DMZ.
permettre aux machine sur ORANGE d'etre accedé via Internet par le systeme du transfert de ports
Et un libre acces GREEN -> ORANGE ( mais pas l'inverse )

Toujours depuis l'extérieur je dois pouvoir accéder à des stations de travail qui seront sur GREEN via VNC et pcAnywhere. Il n'y a pas de difficultés à cela ?

Non la aussi aucune difficulté (bien que ca ne soit pas trop conseillé pour des raisons de sécurité )
surtout pour VNC ...
si tu as plusieurs stations qui ont du VNC et une seule ip publique il faudra ruser

par exemple tu as 2 PC qui ont VNC ( PC1 et PC2 )
les renvois se feront comme ceci

IP RED 5900 tcp -> PC1 5900 tcp
IP RED 5901 tcp -> PC2 5900 tcp

ainsi lorsque tu tappe dans vnc
IP RED tu te retouve sur PC1
IP RED:1 tu te retrouve sur PC2

Le plan d'adressage de ORANGE doit il être différent de celui de GREEN ?

Oui c'est obligatoire !
de plus il te faut choisir des adressages privés !

Classe A privée : 10.0.0.0 - 10.255.255.255
Classe B privée : 172.16.0.0 - 172.31.255.255
Classe C privée : 192.168.0.0 - 192.168.255.255

Tout cela vous semble t'il correcte ?

Merci pour vos réponses !

A premiere vue rien de bien extraordinaire, tout est réalisable avec une version 1.3.0 stable d'ipcop.

[loberty]

Merci pour tes ces renseignements.
Je regarde cela !
A+

[lonix]

Bonjour,

Petite question,
J'avais dans l'esprit qu'une DMZ (Orange pour IpCop), c'était comme s'il n'y avait pas de firewall....
et que sur chaque poste dans la DMZ il faut mettre un firewall.... bref, si le routeur avait une requete qui ne venait pas de l'interne (GREEN), il la forwardait sur la DMZ...



Suis-je dans l'champs ou c'est différent sur IpCop?!

[loberty]

Bonjour,

Sauf erreur, une DMZ est une zone spécifique commune à GREEN et ORANGE.
Quand je dis commune c'est qu'elle contient des services (mails, ftp, etc ...) qui doivent être disponibles pour les personnes de l'extérieur (provenant de RED) mais aussi pour ceux du réseau local (GREEN).

Si on héberge ces serveurs dans GREEN, pour que les personnes extérieurs puissent y accéder il va falloir ouvrir (en partie certes mais ouvrir tout de même) une ou plusieurs portes de GREEN depuis l'extérieur. Cela n'est pas très sécurisant. Car si un des serveurs est mail construit, une personne extérieur se connectant dessus pourrait envoyer de commandes vers les stations du réseau local.

Donc pour éviter cela, on a une zone ORANGE.
Les serveurs sont accessibles via RED et GREEN.
Les requêtes sont autorisées (en partie) de RED vers ORANGE, de GREEN vers ORANGE, mais de ORANGE vers GREEN on n'autorisera que les requêtes de réponse à des requêtes provenant de GREEN.

A+