Config seveur Ipcop interface vlan - Lan

[CaTtleyA]

Bonjour, je cherhce a termine ou se situe le ou les fichier des configuration des types 'CONFIG_TYPE=3'
dans le fichier /var/ipcop/ethernet/setting
merci.

[CaTtleyA]

je cherche a mettre en place plus de 4 interface..
j'ai beau cherche sur le forum. mais je ne trouve rien se rapprochant de ma demande..

Mon serveur actuelle a deux interface ethernet sur le serveur + deux cartes reseau D-link avec 4 interface ethernet chacun ..

Thks.

[keraden]

C'est quoi l'idée ?
Plusieurs DMZ ou plusieurs réseaux locaux ?
Ma petite connaissance d'IPCOP me fait dire qu'il serait limiter à 4 interfaces : RED + ORANGE + BLUE + GREEN

A+

[CaTtleyA]

oui, il me faut mettre en place plusieurs LAN et DMZ ..

les differants seront pour les réseau Voipipour chaque site..

Et la suite se ferai a mettre en place Trois Wan ..

[Gesp]

CONFIG_TYPE est utilisé partout donc ce que tu te prépares à faire n'est vraiment pas simple.
De plus il te faudra modifier setup et rajouter de nouvelles règles pour gérer ces nouveaux réseaux.
Cela risque de ne plus trop ressembler à un ipcop après...

Concernant les vlan, les binaires userspace et kernel seront fournis en 1.4.7, à toi d'en faire ce que tu veux après.

[CaTtleyA]

Merci pour les informations données.
Sinon il y a pas une autres on plus souples .. firewall Mandrakesoft..

le but est de gérer plusieurs Wan 8.. eventuellement faire une reglé alias ip public.. eth0:0, e th0:1, eth0:2, etc.. ensuite créé le nombre de DMZ voulu.. puis les différents LAN nécessaire.

Un Lan (DHCP°) correspond a un GROUP CLIENT et chaque client se verra attribuer une IP de sont group.
Voila pouquoi j'avais retenu Ipcop pour sa souplesse et efficacité. Et il me restait plus car créer en dure les différents LAN DMZ WAN...

avec une gestion graphique de chaque group client.



WAN 8 LAN 5 DMZ 4

[Gesp]

J'ai peur de te détromper mais IPCop n'est pas vraiment souple coté adaptation, dès que l'on sort du cadre prédéfini de ce qui est supporté.

Pour des questions de sécurité, il y a quelques programmes auxiliaires en C pour faire des taches pour lequelles on ne veut pas laisser les droits à l'interface web de le faire. Donc tu risques d'avoir à changer/recompiler tous ces programmes qui ne peuvent faire aujourd'hui que ce qui est prévu dans IPCop.

[jml-61]

Outre le fait que modifier IPCOP peut-être une source d'instabilité, gérer un système qui concentre trop de fonctionnalités peut aussi devenir plus que génant quand il tombe en panne. Il faut définir un plan de secour à toute épreuve.

Personnellement , je privilègierai la mise en place de plusieurs FW IPCOP (au prix d'un vieux PC PII ou PIII à chaque fois). Le plantage d'une machine affectera une partie limité des utilisateurs et/ou du système d'information. On aura pris le soin de préparer une machine de spare prête à recevoir la disquette de sauvegarde IPCOP pour redémarrer dans les meilleurs délais. Il est vrai qu'un outil de supervision centralisé (Nagios???) de routeurs IPCOP évitant la connexion individuelle à chacun d'entre eux serait un plus et un moyen de voir plus ambitieux pour entrer dans les entreprises. Et puis après tout on est sûr qu'on limitera des excès de latence générer par la gestion des I/O sur une même machine, avec un kernel 2.4.

Cela dit ajouter des cartes réseaux supplémentaires manuellement ne doit pas être si complexes que cela, par contre toute la gestion via l'interface d'administration est proscrite tant qu'aucune adaptation des scripts perl et javascript n'est réalisée... a éviter! . Ensuite les règles de filtrage peuvent être adaptés à sa sauce dans /etc/rc.d/rc.firewall.local. La maîtrise des iptables est nécessaire. Si on analyse ce que génère IPCOP à ce niveau c'est déjà impressionnant mais pas insurmontable.

Rester simple peut être la meilleure stratégie et les petits surcoûts compenseront la perte de temps imposée par la complexité.

Good luck!

[CaTtleyA]

merci, de vos sugestions.
Je pense qui serait plus sage de passer par une distrbution debian.. et mettre en place divers service en place nat dhcp regle de firewall ...
Sinon que pensez-vous de mandrakesoft firewall.. ou je rencontrerais le meme soucis..

[jml-61]

En toute sincérité je ne la connaîs pas. Il y a eu communiqué de presse il n' y a pas longtemps avec la sortie de la dernière version du produit, avec une mise en avant de ses capacités multi-LAN. Cela avait retenu mon attention mais pas plus que ça.

Ce qui me fait retenir IPCOP c'est son noyau sécurisé, en fait compilé de manière à générer un code qui "interdit" les attaques par débordement. L'offre de Mandrake affiche également une notion de noyau sécurisé mais je n'ai pas trouvé par quel procédé il y parviennent. Il n'y a rien qui permette de mettre Mandrake réellement en défaut. Mais gageons que ces récentes fusions en font un acteur sérieux qui doit défendre sa notoriété en Amérique du sud et en Asie. Sans oblier que l'armée française les a missionné dans un projet de "durcissement à toute épreuve" du noyau. C'est peut-être une bonne voie à suivre.

Bone chance.

[Gandalf]

Effectivement le MNF répond à tes attentes puisqu'il est multizonal : pas de RED/BLUE et autres couleurs, tu définis autant de zones que tu veux ( 1 zone = 1 interface bien sûr, donc limité par la capacité physique de la carte mère ), et tu définis tes règles entres toutes ces zones ( à la base tout y est interdit, à la différence d'IPCOP ).

Par expérience ce firewall est très performant et j'en suis extrèmement content : l'administration des règles est un régal ( je ne m'étends pas plus la dessus d'autres posts en parlent en long en large et en travers ! )

En revanche comme l'abordent certaines personnes, Mandrake ( maintenant Mandriva ) est assez obscure sur l'utilisation du produit : la version 8.2 nécessite des modifications afin de pouvoir bénéficier des mises à jour ( payantes chez Mandriva ), mais ces modifs restent légales. La dernière version MNF 2 "parait" introuvable au téléchargement sur le site de Mandriva ( ancienne version ) alors que c'est bien le MNF 2 qui est à la vente ! Ceci dit à priori rien n'interdirait quelqu'un de mettre le MNF 2 en libre téléchargement ... bref, je te conseille vivement de l'expérimenter et de venir sur le forum relatif au MNF en cas de problèmes !

Pour la doc : ftp://new.homelinux.net/MNF ( un peu lent mais ça fonctionne quand même ! )

@ +

[CaTtleyA]

Merci.. est-il aussi souple de créee plusieur wan. sur cette distribution..

Oui, Mnf on m'enavait déja parlé. mais les mises à jours était payante.. ou le support..
je termine de lire les documentation que vous m'avez fais parenir.

[Gandalf]

Merci.. est-il aussi souple de créee plusieur wan. sur cette distribution..

Il n'y a pas à proprement parler de zones dans MNF, comme on peut l'entendre dans IPCOP par exemple, avec DMZ, Zone bleue, rouge .... etc. Sur MNF ce ne sont que des réseaux séparés auxquelles on attribue le rôle que l'on veut. A nous ensuite de gérer les bons flux entre toutes ces zones !

Oui, Mnf on m'enavait déja parlé. mais les mises à jours était payante.. ou le support..

Pour l'ancienne version pas besoin de payer quoique ce soit ( en modifiant les scripts ) mais pour la dernière en date, nous n'avons pas encore d'informations précises !

je termine de lire les documentation que vous m'avez fais parenir.

Pas de miracle pour maîtriser un MNF, il faut lire TOUTES les docs, alors bonne lecture ...