configuration fw + proxy + lan

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

configuration fw + proxy + lan

Messagepar kikow » 17 Avr 2006 09:43

Bonjour!

Je souhaite mettre en place un réseau de ce type :

freebox(dhcp activé)
|
ipcop
|
censornet(proxy)
|
lan


Sans avoir a utiliser le dhcp entre ipcop et censornet, faut-il simplement entrer les ips ou alors faut-il utiliser un commande pour le routage? (si oui laquelle?)

Une deuxième question, faut-il une commande de re-routage pour que les pc derrière le proxy accède à internet? (si oui laquelle?) Faut-il activer le dchp sur Censornet ou sur un Serveur Windows 2000 dans le lan?


Voici les ip des différentes machines :

FREEBOX

Adresse ip : XX.XXX.121.254
Masque sous réseau :255.255.255.0
Passerelle : XX.XXX.120.254
DNS primaire : 212.27.53.252
DNS secondaire : 212.27.55.252

IPCOP

Red :

Adresse ip : 192.168.1.1
Broadcast : 192.168.1.255
Masque sous réseau : 255.255.255.0

Green :

Adresse ip : 192.168.0.1
Broadcast : 192.168.0.255
Masque sous réseau : 255.255.255.0

CENSORNET

Coté publique
Adresse ip 192.168.0.2

Coté privé
Adresse ip 192.168.2.1

RESEAU LOCAL

PC souhaitant accéder à internet


Merci par avance pour votre aide et vos réponses! :wink:
kikow
Matelot
Matelot
 
Messages: 3
Inscrit le: 17 Avr 2006 09:21

Messagepar jdh » 17 Avr 2006 10:43

A mon avis j'ajouterais une SME et un Debian en firewalls supplémentaires ....

Freebox <-> IPCOP <-> CensorNet <-> SME <-> Debian <-> réseau local

Trève de plaisanteries, on est pas le 1er avril !


Pourquoi enchainer 2 firewalls successifs ? Pourquoi l'IPCOP utilise l'adresse de la Freebox (192.168.1.1) ? Est ce que 2 firewalls protègent mieux qu'un seul ?

Les anglophones parlent de KISS "Keep It Simple and Stupid", et ils ont raison. Choisis CensorNet ou IPCOP mais ... pas les 2, et les choses seront faciles à mettre en oeuvre.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar kikow » 17 Avr 2006 11:01

En fait Censornet ici est uniquement en mode BRIDGE et non pas en firewall. (il fait office de proxy http)

Pour l'ip justement je ne sais pas exactement je demande un conseil, quelles seraient les bonnes ip?
kikow
Matelot
Matelot
 
Messages: 3
Inscrit le: 17 Avr 2006 09:21

Messagepar wazaa70 » 17 Avr 2006 11:10

Pourquoi ajouter Censornet comme proxy http ?
Avatar de l’utilisateur
wazaa70
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 24 Juin 2003 00:00

Messagepar kikow » 17 Avr 2006 11:30

D'une par car il dispose de très nombreuses fonctions au niveau du filtrage de contenu (bloquage par plage horaires, filtrage des images (jpg, bmp...) le tout gérable par une interface web très simple.

D'autre part une volonté d'alléger le travail du firewall en utilisant une deuxième machine (ipcop étant parfait au niveau du firewall! Mais être un proxy n'est pas son rôle à l'origine, même si cela doit bien fonctionner en ajoutant des add-ons).

Mais surtout le fait de pouvoir lier le proxy avec un serveur active directory (windows 2000 serveur), avec l'authentification des utilisateurs du serveur AD.
kikow
Matelot
Matelot
 
Messages: 3
Inscrit le: 17 Avr 2006 09:21

Messagepar Gandalf » 17 Avr 2006 13:07

Salut, laisse les parler :lol: et continue sur ta lancée, je suis tout à fait d'accord avec ton architecture !
AMHA définis le DHCP sur un serveur dans le LAN et laisse Censornet faire son travail de proxy !
Ton plan d'adressage me parait OK, et tu n'as qu'à définir comme passerelle par défaut sur tes stations du LAN l'IP côté lan de Censornet ! Il se chargera de router les paquets vers sa propre passerelle par défaut ( qui sera donc IPCOP ) !
Pense à cocher l'option "Forward all incoming public packets" sur Censornet et tout fonctionnera à merveille ! Pour être sûr que toutes tes stations du LAN passent par le proxy, le mieux est de chaîner physiquement le firewall et le proxy ( avec un câble croisé par exemple ).
Sinon, tu les as peut-être déjà vu, mais sur le site de Censornet ils ont des docs et des schémas extrêmement bien fait ! http://www.censornet.com/support/diags.php

@ +
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar jdh » 17 Avr 2006 14:18

Bon CensorNet est seulement proxy http. (Pourquoi disposerait-il de 2 cartes et 2 adresses ?)
On arrive à une architecture compréhensible ! (Sorry Gandalf)


Alors il n'y a que 2 réseaux :

- FreeBox <-> IPCOP (Red) : 192.168.1.x/24 avec 192.168.1.1=FreeBox et par exemple IPCOP (Red)=192.168.1.10 (encore que le mieux serait que la FreeBox soit en bridge et que le Red d'IPCOP soit en DHCP).

- IPCOP (Green) <-> CensorNet ET tous les PC : par exemple 192.168.2.x/24 avec IPCOP (Green)=192.168.2.1, CensorNet=192.168.2.2. La passerelle par défaut de tous les PC et CensorNet est bien évidemment l'IPCOP Green. De même IPCOP fournit un serveur DHCP pour le réseau Green.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Gandalf » 17 Avr 2006 16:15

jdh a écrit:(Pourquoi disposerait-il de 2 cartes et 2 adresses ?)


Et bien pour le chaîner avec un firewall tiers tiens ! Et ainsi obligé le passage par cette passerelle ! Regarde les schémas sur le site de Censornet, c'est ce qu'ils expliquent :wink: !

Extrait : This is the most common form of Bridged CensorNet design. Note that we never recommend the use of Bridge Mode unless you have your own firewal ( c'est le cas ici ) to protect your perimeter. Although the CensorNet still has two network cards, connected in a similar fashion to the Basic Router Mode option, it only has one IP address, purely for administration purposes. The firewall shown in the diagram will have an internal address on the same subnet as the rest of the local LAN.

T'as jamais aimé Censornet jdh j'ai l'impression .... :cry:
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron