IPCOP et NAT

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCOP et NAT

Messagepar Le_Tolier » 09 Nov 2005 14:53

Bonjour,

je voudrais savoir s il y a un moyen de faire du NAT avec IPCOP ?

Exemple plus serveur web ds la dmz ?

Et si c est pas possible avec quel autre firewall je peux le faire ?

Merci d avance !
Le_Tolier
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 12 Mai 2004 00:25

Messagepar tomtom » 09 Nov 2005 15:31

???

IPcop fait du nat, c'est sur...

Essaye de t'exprimer un peu mieux sur ton besoin...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Le_Tolier » 09 Nov 2005 17:34

Bah c est assez simple supposons que ds la DMZ tu as deux serveurs web ( un site web et un webmail ) avec ipcop tu fais comment pour faire deux redirection de port 80 ?

Car j ai l impression que ipcop ne fait que du PAT et pas de NAT


En mm j ai reussi avec smoothwall dc j ai juste pour ma culture perso
Le_Tolier
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 12 Mai 2004 00:25

Messagepar tomtom » 09 Nov 2005 17:39

Tu as plusieurs ip fixes ?

Si oui, il me semble qu'il y a un menu dédié (external aliases, quelque chose dans le genre).

Sinon, je ne vois pas comment tu peux rediriger "plusieurs ports 80"...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Le_Tolier » 09 Nov 2005 17:41

oui oui j ai un pool d ip fixe met justement j ai essayer d utilise le ip aliases ms apres je n avais plus acces a l interface web :?
Le_Tolier
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 12 Mai 2004 00:25

Messagepar Le_Tolier » 09 Nov 2005 19:43

J arrive pas a utilise les external aliase, en fait je pense que ca viens du faite que je ne fait pas de masquerading, ms serveur ont une adresse publique et je ne souahite ps pour l instant passe a un adresse prive.
Donc voudrais juste qu ipcop transfert le port et l adresse d origine

on demande IP_Publique:80 ->IPCOP->IP_Publique:80 c est tt en faite ms j ai l impression que c est pas possible
Le_Tolier
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 12 Mai 2004 00:25

Messagepar jdh » 10 Nov 2005 09:07

Si je comprends bien du côté Red (Internet) et du côté Orange (Dmz), il y a le MEME adressage au sens Ip. Autrement dit la machine IPCOP a 2 cartes réseaux qui sont dans le MEME reseau Ip.

Il est clair que, dans ce genre de situation, cela PEUT fonctionner SOUS RESERVE que le "proxy arp" soit activé.

Mais cela n'est pas conseillé !

Il est bien préférable que les adressages Ip soit distincts (et même que la DMZ utilise un adressage de type privé au sens de la RFC 1918 et qu'en conséquence il y ai translation d'adressage en sortie c'est à dire "masquerade").

Dans le cas de plusieurs adresses Ip disponibles du côté Red (et correspondantes à plusieurs serveurs en DMZ), il conviendra de faire du SNAT pour les connexions sortantes. Grace à Ip_Conntrack les connexions entrantes fonctionneront aisément correctement. (SNAT est nécessaire : il ne faudrait pas que les connexions entrantes arrivent avec une adresse et que les connexions sortantes le soit avec une autre adresse). Enfin quand tu en seras à comprendre exactement ce que je viens de dire, tu ne seras pas loin de la solution. A titre personnel j'ai eu l'occasion de mettre en oeuvre ce cas : plusieurs adresses publiques avec une simple Debian+Shorewall. Et cela fonctionnait parfaitement correctement, cela va sans dire.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Le_Tolier » 10 Nov 2005 10:01

Je comprend tres bien ce que tu veux dire, et oui l ideal serait d avoir un adressage prive avec un nat statique pour la dmz. Mais pour l heure je met en place une solution d urgence pour parer au plus presse et avoir un minimun de securite. Je n ai pas le tps de refaire le plan d adressage.

En faite j ai plus besoin d un firewall plutot que d une plateforme IPCOP a l heure actuelle.

J ai fait des tests avec smoothwall ca a l air de fonctionner, je vais voir. Sinon je m orienterai vers un firewall classique ( ShoreWall ... ) mais l interet d ipcop etais que je pouvais la consomation de bande passante et plein de petit avantages qui font que j aurai bien aimer pouvoir m en servir assez facilement.

Merci de vos reponse
Le_Tolier
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 12 Mai 2004 00:25


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité