IPCop & Commande Route !

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCop & Commande Route !

Messagepar Corsicabia » 04 Fév 2006 19:04

Bonjour à Tous

Actuellement, j'ai un réseau (192.168.11.xx), un ipcop (green en 192.168.11.1 et red en 192.168.0.1) qui pointe vers un modem ethernet adsl.

Tout marche bien, sauf que je vais avoir un petit changement.
On va être connecté à un fournisseur via un Cisco en isdn. Le fournisseur me dit que ce modem aura pour adresse 192.168.11.xx et qu'il faudra que sur chaque poste, tout ce qui part vers 172.qqchose doit être dirigé vers ce modem.

Si sur mon IPCop, je parametre une commande route qui redirige le flux 172.qqchose vers ce modem, le flux va-t-il passer par Red ?
En gros, la commande route prend le flux sur green et le redirige vers le modem via Green ou alors, il le fait passer par Red ?

Merci d'avance pour vos réponses et bien le Bonjour de Corse
-----------------------------------
Mandriva2006 - Kernel 2.6.12-156mdk
Firefox 1.5 - Thunderbird 1.5
Adresse Jabber : corsica@jabber.org.uk
Avatar de l’utilisateur
Corsicabia
Major
Major
 
Messages: 77
Inscrit le: 17 Mai 2005 16:14

Messagepar Franck78 » 04 Fév 2006 21:07

Salut,

Explique plutôt a ton fournisseur qu'il y a un firewall entre son CISCO et tes machines. Tu ne touches pas à tes machines. Ca se passe entre eux et IPCop.
Tu peux eventuellement adapter l'IP RED, rien de plus. Tu dois aussi recevoir tout le traffic sur RED.

Ton blah blah routage 172, en provenance d'un commercial du fournisseur j'espère, ne correspond à rien!

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Corsicabia » 05 Fév 2006 09:30

Bonjour

Merci pour la réponse, mais ce doit être ma faute, je me suis mal expliqué.
Nous avons actuellement un IPCop derrière un routeur (connexion adsl Oléane). Toutes les machines ont pour passerelle IPCop ainsi que comme serveur dns et cela marche trés bien.

Nus allons avoir sur le réseau un 2éme routeur (Numéris) pour une connexion directe chez notre fournisseur. Et les postes vont se connecter via un petit soft à une adresse IP (172.qqchose) qui devra passer par ce routeur numéris. Si je laisse en l'état le soft va essayer de passer par IPCop et donc cela ne marchera pas.

C'est pourquoi, je voulais savoir si la commande route sur IPCop pouvait rediriger cette adresse (et uniquement celle là, tout le reste doit passer par le routeur Adsl Oléane) vers ce routeur Numéris, sans passer par RED.

Amitiés de Corse
-----------------------------------
Mandriva2006 - Kernel 2.6.12-156mdk
Firefox 1.5 - Thunderbird 1.5
Adresse Jabber : corsica@jabber.org.uk
Avatar de l’utilisateur
Corsicabia
Major
Major
 
Messages: 77
Inscrit le: 17 Mai 2005 16:14

Messagepar jdh » 05 Fév 2006 10:19

Première réponse :

Le modem étant sur le Green 192.168.11.x, l'IPCOP étant la passerelle par défaut des PC sur Green, le fait de mettre sur l'IPCOP une route vers 172.y.y.y via le modem permettra aux PC de bien passer par le modem. Cela est assez standard. C'est une question de routage bien normale : la route par défaut est capable de répondre "passez par cette direction" s'il faut passez ailleurs.

Donc cela fonctionnera bien comme tu veux en faisant ce que tu proposes. (Il faudra voir dans quel fichier écrire la commande "route" pour la rendre permanente).


Deuxième réponse :

L'adressage 172.y.y.y n'est pas totalement un adressage privé : seulement 172.16-31.y.y. Il faut par conséquent être très précis quand à l'adressage 172.y.y.y. Je suppose que les PC utilisent un soft vers un ou quelques serveurs : le mieux est de préciser EXACTEMENT les machines cibles dans la route (quitte à utiliser un masque de 255.255.255.255=/32 et à définir plusieurs routes).

Il me semble évident que le (ou les) serveur(s) sont extérieurs à la société. Si c'était moi, je n'accepterais pas de mettre un modem directement sur mon Green. Ce serait une porte grande ouverte sur mon réseau ! Je le mettrais dans une Orange (ou Orange bis) avec des règles spécifiques : de Green vers ce Orange : state new ou related; d'Orange vers Green : state related uniquement (et surtout pas de state new !). Sans compter le filtrage par port lié au protocole permis par le soft. Et là je ne suis pas sur que cela soit possible avec un IPCOP : le mode web de pilotage n'est peut-être pas prévu pour ajouter des règles aussi spécifiques mais bien plus sécuritaires.

Comme Franck, je me méfie des commerciaux : leur objectif est de vendre une solution tandis que le tien est de sécuriser ton réseau. Malheureusement des décideurs ne voient pas (ne veulent pas voir) que le deuxième impératif est plus important. On a tous le souvenir de pseudo-technicos commerciaux qui vous racontent des énormités. Il est toujours surprenant d'en apprendre quelquefois à ceux qui vous vendent un produit.

J'ajoute que quand c'est vous qui mettez une machine chez un fournisseur (hébergeur), eux n'hésitent pas à vous mettre des règles très précises !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Corsicabia » 05 Fév 2006 10:41

Bonjour

Merci beaucoup pour la réponse.
Je vais creuser du coté ORANGE, car cela me semble une trés bonne solution.

Amitiés de Corse
-----------------------------------
Mandriva2006 - Kernel 2.6.12-156mdk
Firefox 1.5 - Thunderbird 1.5
Adresse Jabber : corsica@jabber.org.uk
Avatar de l’utilisateur
Corsicabia
Major
Major
 
Messages: 77
Inscrit le: 17 Mai 2005 16:14

Messagepar Franck78 » 05 Fév 2006 12:59

Ah, expliqué comme ça, cela passe mieux. Ca ne pas pas effleuré un quart de seconde une connexion vers depuis le réseau interne (green) vers l'extérieur. C'est une abberation du point de vue sécurité.

Ton routeur doit être branché sur le même brin que RED et le cisco.

Puis je te suggère un VPN vers ton fournisseur, passant pas ce nouveau routeur bien sur.

Et si l'autre coté il n'ont pas de FW, c'est l'occasion de placer un IPCop :lol:

Sinon, oui "quelques route" suffiront si l'addressage privé est correct (c'est la que l'on se demande pourquoi on n'a pas pris un numéro 10.x.x.x ....)

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron