Ipcop et les sous réseaux virtuels

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Ipcop et les sous réseaux virtuels

Messagepar snipalt » 27 Mai 2004 15:08

Bonjour à tous,

Je dois implémenter Ipcop dans un grand réseau, les règles pour ce firewall ne dervront pas être les mêmes par rapport aux salles où on se trouve.
J'avais tout d'abord pensé à des masques de sous réseau pb, il y a trop de sous réseaux (un sous réseau = 1 carte réseau aie)

Ipcop peut t-il le faire ? ? ?

de telle IP à telle IP --> Regle A
de telle IP à telle IP --> Regle B
de telle IP à telle IP --> Regle C
sans masque de sous réseaux !

En vous remerciant d'avance !
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar dec- » 27 Mai 2004 15:41

salut,

Je pense que c'est possible en mettant le bon masque de SR a ton IPcop ainsi qu'a tes postes client
ex: pour un rezo 192.168.0.0/24
tu met 192.168.0.254 /24 a ton IPcop green
ensuite tu réparti tes clients en 192.168.0.1 a .15 --->SR0 (1er SR) avec MSR: 255.255.255.240 (/28)
192.168.0.17 a .31-->SR1(2emR) avec MSR: 255.255.255.240 (/28)
192.168.0.33 a .47 --->SR2 (3em SR) avec MSR: 255.255.255.240 (/28)
etc...

Et dans tes regles de IPtable tu met par exemple:
iptables -A INPUT -p tcp -s 192.168.0.0/28 -j ACCEPT

Je suis pas sur de mon coup, demande confirmation avant.
Un trou noir, c'est troublant...
Avatar de l’utilisateur
dec-
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 21 Fév 2004 01:00
Localisation: Valenciennes, 59-Nord

Messagepar guigus76 » 27 Mai 2004 15:45

je pense que c'est gerable au niveau ipcop

tu pourrais mettre derriere ta carte reseau green un switch
tes differents sous reseaux dessus...
ensuite dans ipcop il suffit de rajouter les routes

route add -net 192.168.2.0/24 gw 192.168.1.10 eth1 exemple
et ensuite il ne reste plus que du param de squid et ipatbles pour tes regles precises a chaque sous reseaux

je me goure les experts :?:
El Guigus
Avatar de l’utilisateur
guigus76
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 26 Août 2003 00:00
Localisation: Zellwiller, 67 Bas Rhin

Messagepar snipalt » 27 Mai 2004 16:12

Ok, vous avez tous les deux de bonnes idées; mais c'est le raccordement des idées qui posent problème.

dec- dit "ensuite tu réparti tes clients en 192.168.0.1 a .15 --->SR0 (1er SR) avec MSR: 255.255.255.240 (/28)
192.168.0.17 a .31-->SR1(2emR) avec MSR: 255.255.255.240 (/28)
192.168.0.33 a .47 --->SR2 (3em SR) avec MSR: 255.255.255.240 (/28) "

--> Ok, c'est la seule solution, je suis limité en slots carte réseaux.

Mais si on fait ça :

" Et dans tes regles de IPtable tu met par exemple:
iptables -A INPUT -p tcp -s 192.168.0.0/28 -j ACCEPT "

--> Les changement s'éffecturont sur l'ensemble des trois "sous-réseaux (qui ne le sont pas car ils ont le même masque)"

--> Il me faudrait dans mon cas une carte réseau à plusieurs adresses Ip ! ! !

Merci !
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar dec- » 27 Mai 2004 16:27

Croute,

Je me disai bien que ca pouvais pas etre si facile,
je comprend bien ta situation et aimerai bien t'aider mais ce n'est pas facile.

"--> Il me faudrait dans mon cas une carte réseau à plusieurs adresses Ip ! ! !"
ça s'est completement possible en créant des alias tu peu ajouter plusieurs IP pour 1 carte réseau.

si ca peu t'aider, en cherchant "IP aliasing" dans ton moteur de recherche favori tu devrai trouver des articles interessant.

Une application pratique de la chose:
http://www.freenix.fr/unix/linux/HOWTO/ ... ias-3.html

Par contre il faut que le noyau IPcop supporte l'aliasing ou que tu puisse ajouter le module qui va bien.

Bonne chance pour ta quete.
Un trou noir, c'est troublant...
Avatar de l’utilisateur
dec-
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 21 Fév 2004 01:00
Localisation: Valenciennes, 59-Nord

Messagepar snipalt » 27 Mai 2004 16:30

Rectification :

Je crois qu'entre le Switch et le firewall, il faut un router

------------------ ------------------------------------- --------------------
Firewall Routeur Switch ARRIVEE
192.168.0.1/24 --------- 192.168.0.2/24 | 192.168.0.1/28 ------- 192.168.0.2/28 ------- SS RESEAUX
------------------ -------------------------------------- --------------------



ça peut marcher un tel bordel ! ! !

Router ou passerelle ? ? ? ?? ? ? ? ? ? ?


Merci
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar dec- » 27 Mai 2004 16:35

Petite question, ne serait il pas plus simple de faire des VLAN avec IPcop sur les interfaces qui t'interesse ?

si s'est possible... :?:
Un trou noir, c'est troublant...
Avatar de l’utilisateur
dec-
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 21 Fév 2004 01:00
Localisation: Valenciennes, 59-Nord

Messagepar snipalt » 27 Mai 2004 16:39

IP aliasing hein, je pensais que c'était impossible ! ça c'est moi tout craché ::::::::

<annectote : Lors d'un tp de programmation en 1ère année de BTS, un programme devait utiliser un reste de division entière, tout le monde à utiliser le Modulo, et moi, comme un c* j'ai programmé ma fonction Modulo !
/annectote>


Hé bien ça risquerait de me sortir de la M***


Plusieurs alias me permettrait de créer des cartes réseaux "virtuelles", et de cette manière créer des sosu réseaux bien distincs !


Mais un autre problème va arriver (tout ce bordel fonctionne avec un serveur DHCP, mais ceci c'est une autre histoire), pour l'instant les solutions seraient : De balancer des adresses fixes (aie aie aie), la deuxième solution un serveur DHCP par sous réseaux ?


Enfin, je perdrais encore quelques cheveux

Merci !
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar dec- » 27 Mai 2004 16:54

lol, pour ton anecdote, sache qu'il m'est arrivé également de recoder un modulo :) c'est tellement plus drole ... :)

Voila pour ton adressage DHCP sur plusieurs réseaux:

http://lea-linux.org/reseau/gateway.htm ... 0000000000
Un trou noir, c'est troublant...
Avatar de l’utilisateur
dec-
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 21 Fév 2004 01:00
Localisation: Valenciennes, 59-Nord

Messagepar snipalt » 28 Mai 2004 09:00

ok alors la config IP sera

Sur mon Ipcop Green 192.168.0.1/24

Les Sous réseaux arriveront sur le le green via un switch
------- SR1 de 192.168.0.17/28 à 192.168.0.30/28 pour les machines
------- SR2 de 192.168.0.33/28 à 192.168.0.46/28 pour les machines
------- et ansi de suite pour les 12 autres sous réseaux.

Mais le problème est
La carte Ipcop Green à le masque /24 et les sous réseaux ont le masques /28
donc, ils ne sont pas dans le même sous réseau et ne pourront pas se voir !

SOLUTION ?
Gestion d'allias IP, càd, ma carte green aura un pied dans chaque sous réseaux donc elle passe en masque /28. Et possédera 14 adresses Ip pour les /28 + la sienne 192.168.0.1/24

--------------------------------------------------------------------
Jusque ici, est-ce une solution envisegable ???

Nouveau problème, DHCP,
Ipcop attribuera des adresses dynamique, de masque /28 pour nommer les stations des sous réseaux.
Comment DHCP connaîtra la position de chaques machines. Je souhaiterai obtenir :
1 sous réseau == ensembles des PC d'une seule salle.

Y a t-il quelquechose à modifier sur le client ? Faut-il passer en adressage fixe ?

--------------------------------------------------------------------

MERCI
ciao ciao
********
A chaque fois que j'aimerai partir là où j'aimerais vraiment être, c'est déjà là où je suis car j'y suis déjà. Qui suis-je ?
Avatar de l’utilisateur
snipalt
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 14 Mai 2004 15:58
Localisation: Audun-le-Tiche

Messagepar kerozene » 28 Mai 2004 12:10

Salut,

Petit rappel concernant les sous-réseaux : on n'utilise pas le premier et le dernier sous réseaux de découpage, car ils contiennent respectivement l'adresse du réseau complet et l'adresse de broadcast.

Donc si on découpe une classe d'adresse en 8 sous réseaux, seuls 6 sont réellement utilisables !

++

Kerozene
"C'est vrai, les gens se laissent hypnotiser par les grandes causes, les choix cruciaux. Et ils arrêtent de chercher des solutions de remplacement. La volonté d'être stupide est une force très puissante..." Miles Vorkosigan- Lois McMaster Bujold
Avatar de l’utilisateur
kerozene
Amiral
Amiral
 
Messages: 1019
Inscrit le: 25 Déc 2002 01:00
Localisation: LYON

Messagepar Franck78 » 28 Mai 2004 12:32

Pourquoi s'$%#&! avec cette idiotie de classe C et ses masques illisibles.


Classe A numéro de réseau
10.0.0.0 / 255.0.0.0

Deux octets entiers pour vraiment faire des sous réseaux.

Le deuxième octet représente par convention, le numéro de salle, ou l'étage ou n'importe quoi:

10.2.x.x / 16 pour la classe 2

ou encore

10.3.1.x /24 3éme étage, salle 1

et
il reste toujours assez de hosts disponible (clients)...


bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron