architecture IPCOP + 2 réseaux

par **loolaf** » 22 Sep 2004 10:36

bonjour,
ça fait quelques heures à errer sur ce forum, sans trouver de piste à mon pbm.

Je voudrais mettre en place une passerelle sécurisé dans un lycée à moindre frais.

réseau A - 80 PC - win 2000 - IP 172.16...
réseau B - 30 PC - win 98-2000 - IP 10...
Les IP ne bougent pas de préférence sinon ça va demander beaucoup de boulot.

Ces 2 réseaux partagent une connexion internet ADSL (actuellement par un routeur firewall).
La passerelle aura les fonctions de :
- filtre d'adresse url pour le reseau A
- pas de filtre url pour certains ordi du resA
- filtre antivirus des fichiers entrants et sortants
- routage entre les deux réseaux pour certains protocoles et dans certains sens

solutions envisagées :
1. PC P3 800MHz sous IPCOP + AV gère toute la passerelle. pbm : les 2 réseaux sont en green ou un green et un orange ou
g b,
quelle config ? Est-ce que le PC va supporter la tâche ?
2. PC P3 800Mhz sous IPCOP + AV. PC P90Mhz avant l'IPCOP comme passerelle entre les deux réseaux. pbm : distrib linux simple
à paramétrer pour passerelle? Est-ce que c encore possible d'appliquer des regles de contenu à des ordi aprés routage ?
3. autre solution :?:

par **betamax** » 22 Sep 2004 11:01

routage entre les deux réseaux pour certains protocoles et dans certains sens

-ipcop ne fait pas office de routeur.

-pourquoi ne pas mettre tous les postes sur le meme réseau en dhcp.

à+

par **loolaf** » 22 Sep 2004 11:13

-ipcop ne fait pas office de routeur.

merci de cette réponse claire et net.

-pourquoi ne pas mettre tous les postes sur le meme réseau en dhcp.

les deux réseaux doivent rester séparer ( pbm de sécurité, de traffic réseau, adressage institutionnel )

alors la solution 2 ( PC routeur + PC ipcop ) parrait + approprié.
d'ou re-question : distrib linux simple à paramétrer pour passerelle? Est-ce que c encore possible d'appliquer des regles de contenu à des ordi aprés routage ?

par **betamax** » 22 Sep 2004 11:40

j'avais pas vu

dans un lycée

Tu as des distrib prévues pour l'éducation nationale simples à mettre en oeuvre ... :wink:

à+

par **KARMAZ** » 22 Sep 2004 20:29

loolaf a écrit:
-ipcop ne fait pas office de routeur.

merci de cette réponse claire et net.

Je ne comprend pas cette affirmation... j'ai deux reseaux (classe B et C) sur ipcop qui communiquent donc ça route non ?
J'ai opté pour ma part pour l'option red +vert+bleu cependant la config d'origine ne permet que des acces de vert vers bleu. Mais la modification des regles iptable permet de faire ce que l'on veut restriction ip(mac),port,protocole etc de transformer le bleu en vert ...
Mais a mon grand regret personne de vraiment calé sur iptable ne s'est penché sur le blue as green avec how to a l'appui.
Mon reve serait une interface utilisateur (par l'interface web) pour entrer les regles de routage inter reseau peut etre dans ipcop 1.5 qui sait ?

La seule limite de ce routage est la vitesse des cartes reseaux pour le transit inter reseau .

par **loberty** » 22 Sep 2004 21:25

Bonjour,

Je me rappelle avoir vu un post sur ixus à propos de quelqu'un qui voulait gérer 2 réseaux GRREN.
Va voir de ce côté là.

De plus, je me rappelle avoir vu un addons qui permettait de gérer graphiquement les règles IPTABLES.
C'est : blockouttraffic

Cela pourrait peut être t'aider.

A+

par **guiguid** » 22 Sep 2004 21:41

betamax

-ipcop ne fait pas office de routeur.

Heuuu bien faudra que tu m'expliques pourquoi j'ai 3 reseaux (10. / 192.168.1 / 192.168.2) + 2 en VPn (192.168.10 / 192.168.20)
sur mon ipcop ?

Sans blagues, pas de problemes pour faire ce que tu dis, fais une recherche avec " deux green" et tu trouveras ton bonheur.

a+

par **betamax** » 22 Sep 2004 23:13

Heuuu bien faudra que tu m'expliques pourquoi j'ai 3 reseaux (10. / 192.168.1 / 192.168.2) + 2 en VPn (192.168.10 / 192.168.20)

Le vpn ce n'est pas du routage..

iptables permet de faire du firewalling, de la translation de port et d'adresse (NAT), du filtrage au niveau 2 (Filter).

Le routage utilise le protocole RIP. Les routeurs s'envoient de proche en proche la totalité de leurs tables dans un intervalle de temps donné ( 30 secondes je crois).
Sinon tu peux faire du routage statique avec iproute.

à+

par **tomtom** » 23 Sep 2004 00:11

Non !

Ipcop est un routeur, au sens tcp/ip du terme.

Il ROUTE des paques, bien qu'il n'apprenne pas ses routes par le biais d'un protocole de routage.

t.

par **betamax** » 23 Sep 2004 02:31

Autant pour moi. :oops:

J'en étais resté au stade ou pour moi un routeur utilise des tables de routage, soit configurées à la main soit par un protocole et utilise le niveau 3 de la couche osi.
J'étais aussi persuadé (sans doute suite à de mauvaises lectures ou incompréhension) que le masquerading était une passerelle entre un réseau privé et un réseau public.

Si tu veux bien éclairer ma lanterne tomtom...

D'avance merci

à+

par **tomtom** » 23 Sep 2004 09:05

y'a rien à eclairer..

Un routeur, c'est n'importe quelel machine capable de prendre une decision pour envoyer un paquet sur une interface en fonctione de l'adresse de destination du paquet à envoyer (on ne parlera pas du source routing).
"Tcp/ip-ement" parlant, n'importe quelle machine est un routeur, même si elle n'a qu'une interface et que donc la decision est facile à prendre. Tu n'as qu'à supprimer la route vers le reseau connecté pour t'en rendre compte.

Maintenant, passerelle. Ce terme ne veut rien dire. On l'utilise à tort et à travers, pour definir un equipement qui fait un lien entre 2 choses. On parle de passerelle vpn, passerelle par defaut etc... C'est un terme que je préfère eviter, ca evite de melanger tous les niveaux.

Protocole de routage : protocole de niveau 3 qui permet aux "routeurs" d'apprendre dynamiquement les routes. Un linux avec zebra par exemple sait utiliser BGP, OSPF ou RIP pour paprendre ses routes... Mais il y a plein de routeurs qui n'ont que des routes statiques (typiquement à l'interieur d'entreprises pas trop grosses... ).

Masquerading : Un nom inventé par le kernel linux à ma connaissance (je ne l'ai jamais vu employé ailleurs) qui designe un mecanisme de translation d'addresse source et permetant ainsi à un routeur de "masquer" le reseau qui est derrière lui, puisqu'il fournit son adresse source avant d'envoyer les paquets ailleurs. On peut tres bien faire du masquerading entre 2 reseaux privés si l'on n'a pas envie que les reseaux connaissent les plans d'addressage l'un de l'autre.
En fait masquerading veut dire SNAT généralisé. On fait du SNAT quelleque soit l'addresse source originale.

Voila, ipcop fait tout ca.
Et même un peu plus.

Tu parlais de filtrage de niveau 2, c'est faux, on fait du filtrage au niveau 2-3-4 et même parfois 7 dans certanes versions modifiées (module string). à la base, c'etait un filtrage de niveau 3 (packet filter, filtre de paquets, entités de niveau 3)., mais les ajouts de netfilter lui permettent de filtrer couramment sur le niveau 4 (tcp, udp...)
On fait aussi de la detection d'intrusion, du proxying.

Un dernier point, RIP est loin d'être le seul protovole de routage, avec en particulier OSPF et BGP qui sont assez utilisés aussi.

t.

par **tomtom** » 23 Sep 2004 09:16

betamax a écrit:J'en étais resté au stade ou pour moi un routeur utilise des tables de routage, soit configurées à la main soit par un protocole et utilise le niveau 3 de la couche osi.

C'est exactement ça.
La commande route te permet de manipuler la table de routage d'ailleurs...
Y compris sur u pc sous windows par eemple, qui est lui aussi un "routeur"...

t.

par **loolaf** » 23 Sep 2004 09:45

merci des réponses, c vrai que j'ai trouvé plus de truc.

mais c pas trés clair encore ( pas trouvé sujet=procédure install 2 cartes green ), donc reviendrai vous enmerder ac d'autres questions qui sont déja traitées. :oops:

par **Franck78** » 23 Sep 2004 09:55

Tomtom a écrit:Masquerading : Un nom inventé par le kernel linux à ma connaissance (je ne l'ai jamais vu employé ailleurs) qui designe un mecanisme de translation d'addresse source et permetant ainsi à un routeur de "masquer" le reseau qui est derrière lui, puisqu'il fournit son adresse source avant d'envoyer les paquets ailleurs. On peut tres bien faire du masquerading entre 2 reseaux privés si l'on n'a pas envie que les reseaux connaissent les plans d'addressage l'un de l'autre.
En fait masquerading veut dire SNAT généralisé. On fait du SNAT quelleque soit l'addresse source originale.

En fait la vraie raison de l'existance de deux choses qui font à priori la même chose, (remplacement IP source) c'est que dans un cas, tu connais l'adresse IP que tu vas utiliser (ip red fixe).
Tandis-que dans l'autre tu ne connais pas l'adresse à utiliser (red en dhcp). Il fallait bien résoudre ce problème élégament, car tu ne peux pas relancer iptables à chaque fois qu'une interface change d'IP...
Après, il y a de la cuisine interne sur le port source pour refaire la translation inverse des réponses.

Bye

par **betamax** » 23 Sep 2004 12:35

Merci pour tes explications tomtom.

C'est vrai que nous n'avons pas la meme définition pour le mot routeur.

La tienne :

Un routeur, c'est n'importe quelel machine capable de prendre une decision pour envoyer un paquet sur une interface

Question : ipcop (sans add-on) utilise t il un protocole dynamique de routage

Dans le cas de loberty ne faut il pas rajouter les routes à la "mimine" pour que ses 2 réseaux internes puissent dialoguer.

Il existe un add-on pour 2 green http://firewalladdons.sourceforge.net/o ... green.html
mais je ne sais pas s'il fonctionne avev ipcop 1.04

à+

architecture IPCOP + 2 réseaux

architecture IPCOP + 2 réseaux

Qui est en ligne ?