DMZ commune à 2 ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

DMZ commune à 2 ipcop

Messagepar Lester » 04 Mars 2005 01:31

Bonjour,
1) J'aurais voulu savoir si il etait possible d'utiliser une DMZ commune pour 2 ipcop ?


Code: Tout sélectionner
Wan1           Wan2
   |              |
   |              |
ipcop1___dmz___Ipcop2
   |              |
   |              |
Lan1            Lan2


red,orange,green = Ethernet

Lan1 :
Dhcp ipcop1
Acces wan1 et dmz
Pas d'acces à Wan2 ni à Lan2
Haute sécu

Lan2 :
Dhcp ipcop2
Acces wan2 et dmz
Pas d'acces à Wan1 ni à Lan1
Haute sécu

Dmz : Sert de lieu d'échange (via dépot donc indirect) à lan1&2
ip fixe
Sécu moyenne

Conf:
Lan1 : 172.26.252.0 / 255.255.255.0
Lan2 : 192.168.1.0 / 255.255.255.0
Dmz : 10.66.0.0 / 255.255.0.0
Wan1 : public IP / 255.255.255.255
Wan2 : public IP / 255.255.255.255
Pour les acces externes sur la dmz peut importe si ils viennent via wan1 ou wan2 ou encore wan1&2


2) Connaissez vous un antivirus qui "sniff" le réseau ? ( lan1,lan2 et dmz )

Merci bcp de vos lumieres
Lester
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 18 Jan 2005 19:09

Messagepar jdh » 04 Mars 2005 10:14

Question 1 : il y a un pb de routage :

Du fait que Wan1 et Wan2 sont internet, je ne vois pas comment cela pourrait être possible.
Pour chaque machine dans la DMZ, il ne peut y avoir de passerelle par défaut puisqu'il y en aurait 2 !
Si tu en mets 2, comment s'assurer que les paquets retours retourneront par le bon IPCOP.


Question 2 : non. Un antivirus c'est fait pour scanner le poste sur lequel il est installé ou scanner les fichiers qui passent par lui. Bien sur si tu ouvres les partages administratifs C$, D$, ... sur chaque poste, cela peut fonctionner (en s'y connectant) mais comme c'est ce qu'il ne faut pas faire ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar shwing » 04 Mars 2005 16:57

Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar HaM » 04 Mars 2005 17:27

Question 1:
C'est possible :!:

Mais il y a quelques astuces à mettre en place par exemple deux cartes réseaux sur les machines en DMZ.
Avec une configurée pour IpCop 1 et l'autre IpCop 2.
Dans chaque IpCop tu fais pointer le NAT vers une IP différente.
Donc lors d'une requête la machine en DMZ devrait répondre par l'interface d'arrivé.

Il me semble que cela devrait pouvoir fonctionner.
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar samy_lg » 04 Mars 2005 17:29

Le problème va être pour les accès externes. Pour le lan, tu ne devrais pas avoir de soucis.

Peut etre que le masquerade peut t'aider pour le WAN. Mais je n'y connais rien.
Avatar de l’utilisateur
samy_lg
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 147
Inscrit le: 19 Nov 2003 01:00

Re: DMZ commune à 2 ipcop

Messagepar antolien » 04 Mars 2005 18:04

Lester a écrit:Bonjour,
1) J'aurais voulu savoir si il etait possible d'utiliser une DMZ commune pour 2 ipcop ?


Code: Tout sélectionner
Wan1           Wan2
   |              |
   |              |
ipcop1___dmz___Ipcop2
   |              |
   |              |
Lan1            Lan2


Pour les acces externes sur la dmz peut importe si ils viennent via wan1 ou wan2 ou encore wan1&2



Il faudrait vérifier que ipcop ne masque pas du lan vers la dmz.
Si c'est le cas il faudrait enlever et masquerader que ce qui est à destination du wan.
Et ainsi, il suffirait d'ajouter des routes sur la machine en dmz avec par exemple :
route add -net 172.26.252.0/24 gw ip_dmz1
route add -net 192.168.1.0/24 gw ip_dmz2

ça c'est pour les accès lan vers dmz.

pour les accès wan vers dmz, le problème des deux routes par défaut se pose, si c'est une machine linux en dmz, tu peux regarder ce post http://forums.fr.ixus.net/viewtopic.php?t=19748

Autrement si l'accès d'un seul wan est suffisant, il suffit de mettre en passerelle par défaut l'ip de la patte dmz d'un des deux ipcop et de faire le renvoi de port dans les accès externes.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Lester » 05 Mars 2005 00:28

Merci de vos précieuses réponses.

en fin de compte sa ma l'air plus simple avec 2 cartes reseaux par unités dans la dmz.

Les unités en dmz devront normalement répondrent par l'interface par lequelle la demande est arriver.
si je supprime les passerelles dans la conf réseau des unitées en dmz sa retire pas mal de problèmes.
Ces unités ne pourront "consulter" et pourront être "appeler". ( genre: serveur applicatif pour lan, administration, mise à jour forcées )

j'vais essayer.

--------------------



Merci shwing pour le lien mais je peux avoir des risques de tentative de bidouillage de ports, donc j'veux essayer d'utiliser le l7 pour marquer les paquets et les faire transiter autrement, mais je vais y regarder plus en detail.
Le l7 peut il marquer les paquets désirés et ensuite les router sur une autre interface ?
je ne connais, pas encore, iptable mais si sa peut faire "drop" pourquoi pas un truc du genre "root"
j'vais chercher dans cette direction

Merci

++
Lester
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 18 Jan 2005 19:09


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron