Bonjour,
je voudrais savoir s il y a un moyen de faire du NAT avec IPCOP ?
Exemple plus serveur web ds la dmz ?
Et si c est pas possible avec quel autre firewall je peux le faire ?
Merci d avance !
IPCOP et NAT
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
IPCOP et NAT
par Le_Tolier » 09 Nov 2005 14:53
- Le_Tolier
- Quartier Maître
- Messages: 17
- Inscrit le: 12 Mai 2004 00:25
par Le_Tolier » 09 Nov 2005 17:34
Bah c est assez simple supposons que ds la DMZ tu as deux serveurs web ( un site web et un webmail ) avec ipcop tu fais comment pour faire deux redirection de port 80 ?
Car j ai l impression que ipcop ne fait que du PAT et pas de NAT
En mm j ai reussi avec smoothwall dc j ai juste pour ma culture perso
Car j ai l impression que ipcop ne fait que du PAT et pas de NAT
En mm j ai reussi avec smoothwall dc j ai juste pour ma culture perso
- Le_Tolier
- Quartier Maître
- Messages: 17
- Inscrit le: 12 Mai 2004 00:25
par tomtom » 09 Nov 2005 17:39
Tu as plusieurs ip fixes ?
Si oui, il me semble qu'il y a un menu dédié (external aliases, quelque chose dans le genre).
Sinon, je ne vois pas comment tu peux rediriger "plusieurs ports 80"...
t.
Si oui, il me semble qu'il y a un menu dédié (external aliases, quelque chose dans le genre).
Sinon, je ne vois pas comment tu peux rediriger "plusieurs ports 80"...
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par Le_Tolier » 09 Nov 2005 19:43
J arrive pas a utilise les external aliase, en fait je pense que ca viens du faite que je ne fait pas de masquerading, ms serveur ont une adresse publique et je ne souahite ps pour l instant passe a un adresse prive.
Donc voudrais juste qu ipcop transfert le port et l adresse d origine
on demande IP_Publique:80 ->IPCOP->IP_Publique:80 c est tt en faite ms j ai l impression que c est pas possible
Donc voudrais juste qu ipcop transfert le port et l adresse d origine
on demande IP_Publique:80 ->IPCOP->IP_Publique:80 c est tt en faite ms j ai l impression que c est pas possible
- Le_Tolier
- Quartier Maître
- Messages: 17
- Inscrit le: 12 Mai 2004 00:25
par jdh » 10 Nov 2005 09:07
Si je comprends bien du côté Red (Internet) et du côté Orange (Dmz), il y a le MEME adressage au sens Ip. Autrement dit la machine IPCOP a 2 cartes réseaux qui sont dans le MEME reseau Ip.
Il est clair que, dans ce genre de situation, cela PEUT fonctionner SOUS RESERVE que le "proxy arp" soit activé.
Mais cela n'est pas conseillé !
Il est bien préférable que les adressages Ip soit distincts (et même que la DMZ utilise un adressage de type privé au sens de la RFC 1918 et qu'en conséquence il y ai translation d'adressage en sortie c'est à dire "masquerade").
Dans le cas de plusieurs adresses Ip disponibles du côté Red (et correspondantes à plusieurs serveurs en DMZ), il conviendra de faire du SNAT pour les connexions sortantes. Grace à Ip_Conntrack les connexions entrantes fonctionneront aisément correctement. (SNAT est nécessaire : il ne faudrait pas que les connexions entrantes arrivent avec une adresse et que les connexions sortantes le soit avec une autre adresse). Enfin quand tu en seras à comprendre exactement ce que je viens de dire, tu ne seras pas loin de la solution. A titre personnel j'ai eu l'occasion de mettre en oeuvre ce cas : plusieurs adresses publiques avec une simple Debian+Shorewall. Et cela fonctionnait parfaitement correctement, cela va sans dire.
Il est clair que, dans ce genre de situation, cela PEUT fonctionner SOUS RESERVE que le "proxy arp" soit activé.
Mais cela n'est pas conseillé !
Il est bien préférable que les adressages Ip soit distincts (et même que la DMZ utilise un adressage de type privé au sens de la RFC 1918 et qu'en conséquence il y ai translation d'adressage en sortie c'est à dire "masquerade").
Dans le cas de plusieurs adresses Ip disponibles du côté Red (et correspondantes à plusieurs serveurs en DMZ), il conviendra de faire du SNAT pour les connexions sortantes. Grace à Ip_Conntrack les connexions entrantes fonctionneront aisément correctement. (SNAT est nécessaire : il ne faudrait pas que les connexions entrantes arrivent avec une adresse et que les connexions sortantes le soit avec une autre adresse). Enfin quand tu en seras à comprendre exactement ce que je viens de dire, tu ne seras pas loin de la solution. A titre personnel j'ai eu l'occasion de mettre en oeuvre ce cas : plusieurs adresses publiques avec une simple Debian+Shorewall. Et cela fonctionnait parfaitement correctement, cela va sans dire.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Le_Tolier » 10 Nov 2005 10:01
Je comprend tres bien ce que tu veux dire, et oui l ideal serait d avoir un adressage prive avec un nat statique pour la dmz. Mais pour l heure je met en place une solution d urgence pour parer au plus presse et avoir un minimun de securite. Je n ai pas le tps de refaire le plan d adressage.
En faite j ai plus besoin d un firewall plutot que d une plateforme IPCOP a l heure actuelle.
J ai fait des tests avec smoothwall ca a l air de fonctionner, je vais voir. Sinon je m orienterai vers un firewall classique ( ShoreWall ... ) mais l interet d ipcop etais que je pouvais la consomation de bande passante et plein de petit avantages qui font que j aurai bien aimer pouvoir m en servir assez facilement.
Merci de vos reponse
En faite j ai plus besoin d un firewall plutot que d une plateforme IPCOP a l heure actuelle.
J ai fait des tests avec smoothwall ca a l air de fonctionner, je vais voir. Sinon je m orienterai vers un firewall classique ( ShoreWall ... ) mais l interet d ipcop etais que je pouvais la consomation de bande passante et plein de petit avantages qui font que j aurai bien aimer pouvoir m en servir assez facilement.
Merci de vos reponse
- Le_Tolier
- Quartier Maître
- Messages: 17
- Inscrit le: 12 Mai 2004 00:25
8 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité