Config reseau multi-WAN - multi-LAN | Conseils

[KiaN]

Bonjour,

J'aurais besoin de ptits conseils ...

J'aimerais installer IPcop pour une archi comme ça :



Le must pour moi serait :

2 GREEN
1 DMZ
3 RED

Mais je pourrais simplifier en :

1 GREEN
1 DMZ
1 RED

à condition que la GREEN puisse avoir 2 IP.


Vous pensez que ça le fait avec IPcop ça ?
Je songeais à la version "simplifiée" en donnant 2 IP à la GREEN, ça me parait mieux de jouer avec ifconfig qu'avec route.

Le LAN "Acces Public" doit être en DHCP mais le LAN pour les employés doit être en dure et je ne peux pas modifier leurs IP ni même l'IP de leur passerelle, je dois adapter IPcop à celle-ci en fait.

(Les 2 pas beaux un peu gommés en bas à gauche sont à ignorer ^^ et à terme la DMZ disparaitra car les serveurs seront host à l'exterieur donc au pire je pourrais les mettre sur la GREEN et forward des ports)

[Gandalf]

Ouh là ! Résumons, car je crois que tu mélanges un peu tout ! Tu as donc besoin de 2 sous-réseaux invisibles l'un à l'autre dans ton lan ( zone verte ), une DMZ pour y mettre ton serveur Web ( je te conseille de mettre ton serveur de mail dans le lan ), et un accès au net pour tout ce petit monde ! Il ne te faut pas 3 wan, quelque soit l'accès eu net, il passera par ton firewall ! Si tu veux faire comme sur ton dessin il va te falloir 3 accès physiquement différents au net ! Est-ce ce que tu veux ? Si non, tu devrais pouvoir y arriver avec IPCOP, sinon si tu as besoin de plus de zone tu prends un MNF par exemple !

Pour tes 2 ss-réseaux dans ton lan, le plus simple c'est de faire du subneting càd de jouer avec les masques de ss-réseaux pour qu'ils ne se voient pas ( si c'est juste pour une question d'invisibilité, si c'est pour une raison de division de charge ça sera ps bon ! )

J'espère t'avoir eclairci les idées sinon repost !

[KiaN]

Tu as donc besoin de 2 sous-réseaux invisibles l'un à l'autre dans ton lan ( zone verte ), une DMZ pour y mettre ton serveur Web ( je te conseille de mettre ton serveur de mail dans le lan ), et un accès au net pour tout ce petit monde !

Exactement

Si tu veux faire comme sur ton dessin il va te falloir 3 accès physiquement différents au net ! Est-ce ce que tu veux ? Si non, tu devrais pouvoir y arriver avec IPCOP, sinon si tu as besoin de plus de zone tu prends un MNF par exemple !

J'ai possibilité d'utiliser une vingtaine d'IP publiques fournies par OLEANE, c'est ça que je differenciais sur le schema en fait, mais rien ne m'empeche de me simplifier la vie en utilisant une seule IP publique pour tout

Pour tes 2 ss-réseaux dans ton lan, le plus simple c'est de faire du subneting càd de jouer avec les masques de ss-réseaux pour qu'ils ne se voient pas ( si c'est juste pour une question d'invisibilité, si c'est pour une raison de division de charge ça sera ps bon ! )

C'est ce que j'ai fais sur la solution temporairement mise en place là, mais je n'en ai pas le droit : les IP privées des employées sont fixées par un organisme de gestion (je prefere pas trop detailler) et je ne peux pas les changer et n'ai pas le droit de rentrer dedans.
Là temporairement j'ai joué sur les masques exactement comme tu dis, mais cette solution n'est pas viable malheureusement

[Mhans]

tu peut aussi transformé la carte bleu en deuxième carte verte pour mettre un autre réseaux séparé

dans le fichier rc.network remplace:

Code: Tout sélectionner

if [ "$BLUE_DEV" != "" ]; then
   echo "Setting up wireless firewall rules"
   /usr/local/bin/restartwireless
fi


par:

Code: Tout sélectionner

if [ "$BLUE_DEV" != "" ]; then
echo "Setting up wireless firewall rules"
#   /usr/local/bin/restartwireless
/sbin/iptables -A WIRELESSINPUT -s IP_BLEU/NETMASK -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A WIRELESSFORWARD -s IP_BLEU/NETMASK -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A WIRELESSFORWARD -s IP_BLEU/NETMASK -i $BLUE_DEV -j DMZHOLES
fi


Ca permet de désactiver l’accès par couple adresse ip / adresse mac

[Gandalf]

Pourquoi n'est-ce pas viable ? Tu ne changes rien sur tes IPs du LAN employé, et tu mets les IPS du LAN accès public en fixe également avec un bon subneting ( en plus si c'est vraiment de l'accès public au sens propre oublies le DHCP, trop dangereux !! ) ! Avec une seule passerelle qui aboutit pour toutes ces stations sur l'interface verte d'IPCOP !

Rapidement un exemple qui peut être amélioré :

Zone verte :LAN Employé 10.11.0.0 /16, LAN Public : 10.10.10.0/16 et passerelle 10.1.1.1/8 ! +serveur de mail accéssible de là ou t'en as besoin !

Zone orange : serveur Web et pourquoi pas une passerelle filtrante SMTP type Interscan qui rebalance les mails nettoyés dans ton lan sur le serveur mail

Zone rouge : internet : au choix tu fais comme tu le sens avec ou sans toutes tes adresses IPs publiques, ça n'affectera pas l'architecture de ton réseau !

PS : si tu as un accès public, tu dois mettre au moins l'addon BOT sur IPCOP ou alors passer à MNF qui pour ma part est d'origine un peu plus sécurisé !

@ +

[Gandalf]

Oups j'avais pas vu ! Le choix de Mhans est effectivement très judicieux !

[KiaN]

tu peut aussi transformé la carte bleu en deuxième carte verte pour mettre un autre réseaux séparé

Oh j'y avais pensé mais n'ai jamais testé le BLUE.

Je rajoute juste ça à la fin de la conf BLUE ? Je suis débutant sur IPcop ^^;

Pourquoi n'est-ce pas viable ? Tu ne changes rien sur tes IPs du LAN employé, et tu mets les IPS du LAN accès public en fixe également avec un bon subneting ( en plus si c'est vraiment de l'accès public au sens propre oublies le DHCP, trop dangereux !! ) ! Avec une seule passerelle qui aboutit pour toutes ces stations sur l'interface verte d'IPCOP !

Ben le probleme c'est que les IP que j'ai indiqué là en 10. sont en autre chose (193.93.93. en réalité) et je n'ai pas le droit de rentrer sur cette plage. D'ou le probleme ... 193.92. serait jouable ? Je sais plus trop. N'est-ce pas mieux d'avoir 193.93.93.1 et 192.168.0.254 en tant que deux IP sur la meme carte ethernet via un alias ?

PS : si tu as un accès public, tu dois mettre au moins l'addon BOT sur IPCOP ou alors passer à MNF qui pour ma part est d'origine un peu plus sécurisé !

BOT c'est un outil de filtrage c'est ça ? Je vais regarder. Quel est sinon le probleme d'avoir les PC de l'acces public en DHCP. ? Euh ce que j'appelle "acces publique" c'est des gens qui sont dans les locaux et qui vont sur des PC client uniquement pour surfer.

Merci. (desolé si mes reponses sont en vrac : j reinstalle la passerelle IPcop dans nos locaux en meme temps et je dois aller à un datacenter cet aprem .. arg manque de temps)

[Gandalf]

Si je ne m'abuse :

Employés : 193.93.93.0/24 ( je suppose le mask tu ne me l'indiques pas ! )
Public : 193.93.92.0/24
Passerelle ( exemple ) : 193.93.1.1/16

PCs publics : pas de DHCP car si quelqu'un arrive à s'infiltrer sur ce réseau il sera adressé automatiquement, pas top pour la sécu ! Ou alors tu fais de la réservation d'adresse, mais pas de DHCP !

BOT = Block Out Traffic : interdit tout traffic sortant jusqu'à l'autorisation de l'admin ! Si tu mets pas ça sache que IPCOP laisse sortir tous les traffics ( et donc les retours qui vont avec ), donc si je pousse l'idée à son paroxysme : je me pointe chez toi avec mon portable, je plug et je suis adressé ( super ton DHCP !! ) et je vais sur let net faire ce que je veux, installer Emule, télécharger n'importe quoi et pire aller attaquer d'autres sites à partir du tien ! 1 semaine plus tard les flics débarquent chez toi ( si tu es l'admin du réseau ! ) en te demandant des explications !!! C'est un peu tiré par les cheveux mais ça peut se faire !!!!

Sinon pars sur la solution de Mhans !

[KiaN]

Si je ne m'abuse :

Employés : 193.93.93.0/24 ( je suppose le mask tu ne me l'indiques pas ! )
Public : 193.93.92.0/24
Passerelle ( exemple ) : 193.93.1.1/16

Merci je vais etudier ça !

PCs publics : pas de DHCP car si quelqu'un arrive à s'infiltrer sur ce réseau il sera adressé automatiquement, pas top pour la sécu ! Ou alors tu fais de la réservation d'adresse, mais pas de DHCP !

Hmm t'as pas tort. A l'origine les PC en questions fonctionnaient en DHCP mais ça, je pense pas y être obligé, en plus ça m'arrangerait de ne pas avoir de DHCP.

BOT = Block Out Traffic : interdit tout traffic sortant jusqu'à l'autorisation de l'admin ! Si tu mets pas ça sache que IPCOP laisse sortir tous les traffics ( et donc les retours qui vont avec ), donc si je pousse l'idée à son paroxysme : je me pointe chez toi avec mon portable, je plug et je suis adressé ( super ton DHCP !! ) et je vais sur let net faire ce que je veux, installer Emule, télécharger n'importe quoi et pire aller attaquer d'autres sites à partir du tien ! 1 semaine plus tard les flics débarquent chez toi ( si tu es l'admin du réseau ! ) en te demandant des explications !!! C'est un peu tiré par les cheveux mais ça peut se faire !!!!

Ah oui comme ça ils ne peuvent que surfer. Pourquoi pas, mais en fait le but initial etait de remplacer un Watchguard Firebox defectueux, pas d'améliorer la sécurité du réseau, mais faut voir. En fait, le lieu en question n'as pas de vrai admin reseau sur place, juste un mec qui bidouille vaguement ...
Je n'ai jamais même vu les PC en acces public, je ne sais pas ce qu'il y a desssus, si ça se trouve c'est un carnage ! Vais de toute façon étudier les logs de leur passerelle temporaire de secours avant d'installer l'IPcop.

Sinon pars sur la solution de Mhans !

Je vais y reflechir, merci pour vos conseils