IPCOP : DMZ avec SME sous bochs/qemu/vmware/...

[Riric]

Bonjour,

en fait mon post pourrait-être à la fois ici et sur le forum SME.

J'aimerais si quelqu'un a déjà installé un émulateur genre bochs/qemu ou VMWare sur son IPCOP ?

En l'occurrence ce que j'aimerais faire :

Internet
|
IPCOP 1.3 --- DMZ SME (web, mail, ...)
|
LAN
Mais pour économiser les machines (et l'electricité), j'aimerais que le SME tourne dans une machine virtuelle sous IPCOP.
Est-ce faisable ?
Retour d'expérience ?

Merci d'avance !
@+

[Riric]

Personne n'a d'idée ?

Personne n'a mis en place un SME server sous QEmu par hasard ?
voire sous VMWare ?

Merci d'avance !

[Pabze]

Bonjour,

J'ai une SME installé sous VMware, mais ce VMware se trouve sur un serveur Windows 2000 !

Pour ce qui est d'une installation de celui-ci sous IP-Cop, je ne sais pas trop mais je doute, IP-Cop, ne posséde ni compilateur, ni serveur X, je ne suis pas sur de sa réussite d'installation...

[hb]

je suis comme pabze, la machine sous windows (NT4S) et plusieurs VM windows,linux, ...
j'ai meme monté une maquette (NT4--IPCOP--IPCOP--NT4) pour testé le VPN avec les VLANs de VMware
de la à posé le RPM sur ipcop il y a un monde.
pourquoi ne procederes tu pas comme nous ?

Internet
|
|
PC
(rezo0 ----RED.IPCOP)
(rezo1 ----GREEN.IPCOP)
(rezo2 ----ORANGE.IPCOP)
(rezo3 ----SME)
(rezo4 ----utilisée par windows ONLY)

rezo0= une carte ethernet sur laquelle tu branches ton modem ADSL
rezo1= une carte ethernet sur laquelle tu branches ton HUB/SWITCH pour ton LAN
rezo2-rezo3 un VLAN avec VMWare
rezo4=une carte ethernet dédié pour le windows hebergeant VMWare (plus securisé que de faire du "direct attach" en mettant tout sur la meme carte)

des commentaires ? remarques ? améliorations ?
je pense mettre cette solution en prod lorsque je demenagerais prochainement (aout/septembre)

[Riric]

en fait, j'ai déjà un IPCOP (1.3) en place et je voulais profiter du serveur pour installer un qemu ou un bochs et dedans une SME.

Le binaire de Qemu tourne à priori sans pb sous IPCOP - mais je pourrais vous confirmer cela d'ici demain, car je suis en train de faire le test.
En fait, je ne vois pas l'intérêt - dans mon cas - de setuper une base Windows pour faire tourner du Linux dessus ...

Cependant je garde l'idée sous le coude, au cas où mes tests foirent

Eric.

[hb]

En fait, je ne vois pas l'intérêt - dans mon cas - de setuper une base Windows pour faire tourner du Linux dessus ...

tout a fait, mais rien ne t'empeche de remplacer windows par une Debian ou tout autre distrib linux de ta convenance.
j'ai peur que l'ajout d'un emulateur sur ipcop necessite egalement l'ajout de quelques briques patches et autres afin de garder "presque" le meme niveau de securite qu'auparavant
il me parait delicat pour la securite de mettre le host hebergeant en frontal d'internet

[Pabze]

Salut HB,

Je ne pensais pas aller jusqu'a ta config, mais elle est terrible !
Ma petite SME en VMware me convenait parfaitement, et je ne savais pas trop gérer la couche de l'IP-Cop sur la même machine que celle ayant SME !

Si tu peux m'eclairer sur tes differentes config pour les cartes rezo, en particuliers ton VLan entre le ORANGE d'IP-Cop et la SME ?? Merci d'avance !

Chao,
PABZE.

PS : Si le VLan est explicite dans la doc de VMware, excuses moi par avance de cette question !

[hb]

le fonctionnement ne m'a pas parut si simple à la premiere approche de VMWare, et puis avec un peu de pratique on s'y fait.

VNET0, VNET1 et VNET8 sont predefini avec des roles particuliers, generalement VNET0 donne largement satisfaction à tout le monde pour une utilisation simple, mais si tu veux pousser un peu plus loin tu peux associer des cartes reseaux virruelles avec une et une seule carte reseau physique.
mais tu peux aussi ne l'associer à aucune

legende:

ethX: carte physique n°X
VNETX: carte virtuelle de VMWare n°X

(rezo0 ----RED.IPCOP) ---------------------> VNET2 associer à ETH0 ----> vers modem ethernet
(rezo1 ----GREEN.IPCOP) ------------------> VNET3 associer à ETH1 ----> vers switch LAN
(rezo2 ----ORANGE.IPCOP) ----------------> VNET4 (VLAN1)
(rezo3 ----SME) -----------------------------> VNET4 (VLAN1)
(rezo4 ----utilisée par windows ONLY) ----> VNET5 associer à ETH2 ----> vers swicth LAN

VNET5 est vraiment une grosse securite il peut etre remplacé par VNET3 et ainsi economiser une carte ETHx

VNET4 peut egalement etre ataché à une carte ETHy et ainsi permettre de brancher un PC sur la DMZ, sinon ce n'est pas necessaire.

[ulysse4210]

salut,

Je me permet de deterrer ce post...

Je tente de faire exactement la meme choses que hb ci dessus....
J'y arrive pas....
Est ce que qlq un, heu hb par exemple, pourrait me dire comment configurer les cartes rezo de vmware, ce que je dois faire dans le "manage virtual network"???

legende:

ethX: carte physique n°X
VNETX: carte virtuelle de VMWare n°X

(rezo0 ----RED.IPCOP) ---------------------> VNET2 associer à ETH0 ----> vers modem ethernet
(rezo1 ----GREEN.IPCOP) ------------------> VNET3 associer à ETH1 ----> vers switch LAN
(rezo2 ----ORANGE.IPCOP) ----------------> VNET4 (VLAN1)
(rezo3 ----SME) -----------------------------> VNET4 (VLAN1)
(rezo4 ----utilisée par windows ONLY) ----> VNET5 associer à ETH2 ----> vers swicth LAN

VNET5 est vraiment une grosse securite il peut etre remplacé par VNET3 et ainsi economiser une carte ETHx

VNET4 peut egalement etre ataché à une carte ETHy et ainsi permettre de brancher un PC sur la DMZ, sinon ce n'est pas necessaire.

c'est quasiment ca, sauf que mon hote est dans la dmz...
Mon soucis, c'est detre sur que ipcop utilise bien les bonne cartes ainsi que sme...
de plus il me faudrait un switch virtuel pour relier le host et la sme sur le port orange de ipcop???
je suis vraiment perdu la, c'est pas mon taff, et tout c'est cartes rzo et adresse ip me font tourner la tete...
en plus google me fait la $%#&!, y pas bcp de truc sur vmware...

Mon pc est equipe de 4 carte rezo...

help....


ps: tien il modere le mot gue.ule , c'est marrant ca... c'est pas trop un gros mot pourtant???!!!

[hb]

salut Ulysse, pour ne pas répéter la meme chose une deuxieme fois, pourrais tu nous dire à quel point tu en es. je n'ai qu'une seul carte reseau sur mon serveur, je ne peux donc pas monter le type de conf que j'ai dessiné.

ce que je te conseil, pour etre sur de ce que tu fais, c'est de ne pas monter la conf total sur IPCOp, mais carte par carte.
phase 1, une seule carte sur IPCOP configuration sur BRIDGED (VMNET0)
la tu install ipcop GREEN (RED is MODEM)
et tu configures le GREEN avec la seule carte dispo avec une IP accessible depuis ton LAN si tu es en IPfixe sinon n'importe laquelle si tu penses utiliser le DHCP d'IPCOP pour obtenir une IP en dynamique (je te conseil l'IP fixe quand on debute)
ainsi tu peux à présent tester l'acces à l'interface WEB d'IPCOP
phase 2, tu ajoutes une 2eme carte à IPCOP configuration sur (VMNETx)
dans le "manage virtual network" tu definis le VMNETx en BRIDGE avec ta 2eme carte reseau physiquement installé sur le serveur VMWARE, et tu raccordes ton modem ADSL dessus
là tu peux poursuivre ton installation IPCOP, passe dans le setup, dit lui que tu passes de GREEN (RED is MODEM) à GREEN + RED
tu configures ta connexion et verifies que ca marche bien.
phase 3, alors tu ajoute une 3 eme carte reseau à ipcop pour la configuration du ORANGE DMZ, suivant ce que tu veux faire tu as 2 possibilités.
soit le serveur en DMZ est aussi une machine VMWARE (cas1)
soit le serveur en DMZ est une machine physique (cas2)

cas 1 : tu configures ta 3eme carte sur VMNETy (et c'est tout)
lorsque tu installeras le serveur DMZ virtuel, il faudra lui ajouter la meme carte VMNETy
cas 2 : tu configures ta 3eme carte sur VMNETy (et dans le "manage virtual network" tu definis le VMNETy en BRIDGE avec la 3eme carte physiquement installé sur le serveur VMWARE, et tu raccordes le serveur externe dessus (cable croisé obligatoire)

j'espere avir été plus clair, si ce n'est pas le cas avance pas à pas et pose des questions plus précises sur tes points de blocage.
n'hesite pas non plus à dessiner un schema sur un papier et indique le nom des cartes et les IPs que tu utilises, ça aide à s'y retrouver.

salut,

Je me permet de deterrer ce post...

Je tente de faire exactement la meme choses que hb ci dessus....
J'y arrive pas....
Est ce que qlq un, heu hb par exemple, pourrait me dire comment configurer les cartes rezo de vmware, ce que je dois faire dans le "manage virtual network"???

legende:

ethX: carte physique n°X
VNETX: carte virtuelle de VMWare n°X

(rezo0 ----RED.IPCOP) ---------------------> VNET2 associer à ETH0 ----> vers modem ethernet
(rezo1 ----GREEN.IPCOP) ------------------> VNET3 associer à ETH1 ----> vers switch LAN
(rezo2 ----ORANGE.IPCOP) ----------------> VNET4 (VLAN1)
(rezo3 ----SME) -----------------------------> VNET4 (VLAN1)
(rezo4 ----utilisée par windows ONLY) ----> VNET5 associer à ETH2 ----> vers swicth LAN

VNET5 est vraiment une grosse securite il peut etre remplacé par VNET3 et ainsi economiser une carte ETHx

VNET4 peut egalement etre ataché à une carte ETHy et ainsi permettre de brancher un PC sur la DMZ, sinon ce n'est pas necessaire.

c'est quasiment ca, sauf que mon hote est dans la dmz...
Mon soucis, c'est detre sur que ipcop utilise bien les bonne cartes ainsi que sme...
de plus il me faudrait un switch virtuel pour relier le host et la sme sur le port orange de ipcop???
je suis vraiment perdu la, c'est pas mon taff, et tout c'est cartes rzo et adresse ip me font tourner la tete...
en plus google me fait la $%#&!, y pas bcp de truc sur vmware...

Mon pc est equipe de 4 carte rezo...

help....


ps: tien il modere le mot gue.ule , c'est marrant ca... c'est pas trop un gros mot pourtant???!!!

[ulysse4210]

salut,

ce que je te conseil, pour etre sur de ce que tu fais, c'est de ne pas monter la conf total sur IPCOp, mais carte par carte.

Merci hb!!!!
En fait je n'avais pas penser a conecter les carte une a une!!!!
C'est une idee de genie
Mon 1. probleme etait bien celui la, enfin je parle au passe, mais faut encore faire les test !!!


Pour mieux definir ma config
Mon hote(win Xp) est bien dans ma dmz, je voudrai pouvoir faire tourner un serveur de jeu dessus, donc il faut qu'il soit dans la dmz de ipcop.
Mais je voulais rajouter une sme(server only) virtuel en plus, dans cette dmz!!!
C'est la que je comprend pas comment affecter la patte orange d'ipcop a deux carte reseau, une virtuel(sme), et une sensée etre physique(windows).

J'ai vu que vmware offrait la possibliter d'utiliser un switch virtuel, je v me pencher sur ca et voir si ca repond a mon besoin...
Mais je me pencherai sur ce probleme la apres, je vais deja installer ipcop et le configuré convenablement...
Si apres mon pc en green (pc principal), mon hote (win Xp)en dmz et ipcop(virtuel) discute bien ensemble, je penserai a ajouter la sme(virtuel)!!

phase 1, une seule carte sur IPCOP configuration sur BRIDGED (VMNET0)

La ou je ne te suis pas, c'est que tu mets la carte en green sur le mode BRIDGED sur VMNET0.
Comme mon pc en green n'est pas mon hote, et qui plus est l'hote sera dasn le zone orange, je vais plutot mettre cette carte reseau en mode BRIDGE sur VMNETx, pour plus de securité??!!

phase 2, tu ajoutes une 2eme carte à IPCOP configuration sur (VMNETx)

ok

phase 3, alors tu ajoute une 3 eme carte reseau à ipcop pour la configuration du ORANGE DMZ, suivant ce que tu veux faire tu as 2 possibilités.
soit le serveur en DMZ est aussi une machine VMWARE (cas1)
soit le serveur en DMZ est une machine physique (cas2)

C'est que je vais mettre le mode BRIDGED sur VMNET0
puisque mon hote sur trouvera en dmz...

Je pense que jusque la je ne me trompe pas.
Je vais donc tester tout ca demain, pas a pas...


Encore merci d'avoir repondu, si tard en plus

je posterai mes resultat ici!!!

[hb]

je pense que je viens de comprendre a config.
le serveur VMWare est en fait le serveur physique qui est en DMZ.
je suis donc d'accord avec ta conf.
j'avais imaginé le serveur VMWARE en green et le serveur DMZ en VM comme SME.

si par la suite tu ajoutes SME en VM il faudra alors egalement la brider en VMNET0.

par contre un point m'echappe, tu n'a pas d'autres PC en green ?
je pense que si, donc tu as intéret à attacher une carte physique à ton VMNET servant de GREEN



VMNETx -> Carte reseau 1 -> GREEN -> HUB du LAN local
VMNETy -> Carte reseau 2 -> RED -> MODEM ADSL
VMNETz -> Carte reseau 3 -> ORANGE -> (rien pour l'instant)

tu n'es pas obligé de relié la DMZ à une carte reseau physique
il me semble que VMNET8 est un reseau HOST ONLY c'est à dire un reseau prive entre une VM et le serveur VMWARE, mais bon apres pour ajouter SME c'est peut etre plus Tutchi

[ulysse4210]

par contre un point m'echappe, tu n'a pas d'autres PC en green ?
je pense que si, donc tu as intéret à attacher une carte physique à ton VMNET servant de GREEN

VMNETx -> Carte reseau 1 -> GREEN -> HUB du LAN local
VMNETy -> Carte reseau 2 -> RED -> MODEM ADSL
VMNETz -> Carte reseau 3 -> ORANGE -> (rien pour l'instant)

Sisi bien sur que j'ai d'autre pc en green, par connecter en permanence, mais oui quand meme, donc je viens appliquer ta config ici...
En fait cela ne me sembait pas utile de le preciser, vu que l'apport d'un switch et l'ajout de pc en green ne faisait pas vraiment partie du probleme lié a VmWare et l'attribution des carte physique au systeme viruel...
J'aurai du le faire moi meme le resume, j'ai pas encore l'habitude d'utiliser des schemas pour m'aider

Juste encore une petite chose,
Dans windows, puis je retirer le protocole TCP/IP sur les cartes physique attribue au pc virtuel, en esperant que le pc virtuel le gere...
Ceci, dans l'espoir que je ne puisse pas recup de trame via l'hote, et donc augmenter le seuil de securiter representer par cette config, sinon si tout passe quand meme par l'hote pour acceder au couche viruel, je vois pas l'interet...
M'enfin je ferai des test une fois tout ca mis en place!!
Aujourd'hui ca va pas le faire, le paternel a un soucis avec outlook express

[hb]

oui bien sur tu dois pouvoir désactiver les protocols dans windows, surtout sur le RED car sinon ton Serveur windows risque de se faire attaquer je pense.
enleves client Microsoft
enleves partage de fichier
enleves Protocole TCP/IP

par contre tu ne peux pas désactiver la carte, of course !

[ulysse4210]

Et bien voila!!!!

C'est meme pas marrant tellement c'etait facile

Tout c'est deroulé comme prevu, installation pas a pas des cartes et de la config d'ipcop...
J'ai enlevé les clients Microsoft, enleves les partage de fichier, enleves les protocole TCP/IP...

Tout marche comme sur des roulettes!!!!

d'ailleur, 'ai tester de sniffer les trames qui passent et rien... en plus les prg que j 'ai utiliser ne voient meme pas les cartes rezo, ce qui est normal, mais il ne voient ren passer non plus...
Question secu, je pense que cela devrai aller.
La seule chose, c'est pour la patte orange d'ipcop, la j'ai pas su mettre un BRIDGE sur VMNET0, j'ai du attribue la carte sur VMNETx et rajouter un 4 carte rezo pour windows, donc faire un aller et retour avec un cable croise de la carte orange a la carte de windows


Encore merci a toi hb!!!!!