configuration fw + proxy + lan

[kikow]

Bonjour!

Je souhaite mettre en place un réseau de ce type :

freebox(dhcp activé)
|
ipcop
|
censornet(proxy)
|
lan

Sans avoir a utiliser le dhcp entre ipcop et censornet, faut-il simplement entrer les ips ou alors faut-il utiliser un commande pour le routage? (si oui laquelle?)

Une deuxième question, faut-il une commande de re-routage pour que les pc derrière le proxy accède à internet? (si oui laquelle?) Faut-il activer le dchp sur Censornet ou sur un Serveur Windows 2000 dans le lan?


Voici les ip des différentes machines :

FREEBOX

Adresse ip : XX.XXX.121.254
Masque sous réseau :255.255.255.0
Passerelle : XX.XXX.120.254
DNS primaire : 212.27.53.252
DNS secondaire : 212.27.55.252

IPCOP

Red :

Adresse ip : 192.168.1.1
Broadcast : 192.168.1.255
Masque sous réseau : 255.255.255.0

Green :

Adresse ip : 192.168.0.1
Broadcast : 192.168.0.255
Masque sous réseau : 255.255.255.0

CENSORNET

Coté publique
Adresse ip 192.168.0.2

Coté privé
Adresse ip 192.168.2.1

RESEAU LOCAL

PC souhaitant accéder à internet


Merci par avance pour votre aide et vos réponses!

[jdh]

A mon avis j'ajouterais une SME et un Debian en firewalls supplémentaires ....

Freebox <-> IPCOP <-> CensorNet <-> SME <-> Debian <-> réseau local

Trève de plaisanteries, on est pas le 1er avril !


Pourquoi enchainer 2 firewalls successifs ? Pourquoi l'IPCOP utilise l'adresse de la Freebox (192.168.1.1) ? Est ce que 2 firewalls protègent mieux qu'un seul ?

Les anglophones parlent de KISS "Keep It Simple and Stupid", et ils ont raison. Choisis CensorNet ou IPCOP mais ... pas les 2, et les choses seront faciles à mettre en oeuvre.

[kikow]

En fait Censornet ici est uniquement en mode BRIDGE et non pas en firewall. (il fait office de proxy http)

Pour l'ip justement je ne sais pas exactement je demande un conseil, quelles seraient les bonnes ip?

[wazaa70]

Pourquoi ajouter Censornet comme proxy http ?

[kikow]

D'une par car il dispose de très nombreuses fonctions au niveau du filtrage de contenu (bloquage par plage horaires, filtrage des images (jpg, bmp...) le tout gérable par une interface web très simple.

D'autre part une volonté d'alléger le travail du firewall en utilisant une deuxième machine (ipcop étant parfait au niveau du firewall! Mais être un proxy n'est pas son rôle à l'origine, même si cela doit bien fonctionner en ajoutant des add-ons).

Mais surtout le fait de pouvoir lier le proxy avec un serveur active directory (windows 2000 serveur), avec l'authentification des utilisateurs du serveur AD.

[Gandalf]

Salut, laisse les parler et continue sur ta lancée, je suis tout à fait d'accord avec ton architecture !
AMHA définis le DHCP sur un serveur dans le LAN et laisse Censornet faire son travail de proxy !
Ton plan d'adressage me parait OK, et tu n'as qu'à définir comme passerelle par défaut sur tes stations du LAN l'IP côté lan de Censornet ! Il se chargera de router les paquets vers sa propre passerelle par défaut ( qui sera donc IPCOP ) !
Pense à cocher l'option "Forward all incoming public packets" sur Censornet et tout fonctionnera à merveille ! Pour être sûr que toutes tes stations du LAN passent par le proxy, le mieux est de chaîner physiquement le firewall et le proxy ( avec un câble croisé par exemple ).
Sinon, tu les as peut-être déjà vu, mais sur le site de Censornet ils ont des docs et des schémas extrêmement bien fait ! http://www.censornet.com/support/diags.php

@ +

[jdh]

Bon CensorNet est seulement proxy http. (Pourquoi disposerait-il de 2 cartes et 2 adresses ?)
On arrive à une architecture compréhensible ! (Sorry Gandalf)


Alors il n'y a que 2 réseaux :

- FreeBox <-> IPCOP (Red) : 192.168.1.x/24 avec 192.168.1.1=FreeBox et par exemple IPCOP (Red)=192.168.1.10 (encore que le mieux serait que la FreeBox soit en bridge et que le Red d'IPCOP soit en DHCP).

- IPCOP (Green) <-> CensorNet ET tous les PC : par exemple 192.168.2.x/24 avec IPCOP (Green)=192.168.2.1, CensorNet=192.168.2.2. La passerelle par défaut de tous les PC et CensorNet est bien évidemment l'IPCOP Green. De même IPCOP fournit un serveur DHCP pour le réseau Green.

[Gandalf]

(Pourquoi disposerait-il de 2 cartes et 2 adresses ?)

Et bien pour le chaîner avec un firewall tiers tiens ! Et ainsi obligé le passage par cette passerelle ! Regarde les schémas sur le site de Censornet, c'est ce qu'ils expliquent !

Extrait : This is the most common form of Bridged CensorNet design. Note that we never recommend the use of Bridge Mode unless you have your own firewal ( c'est le cas ici ) to protect your perimeter. Although the CensorNet still has two network cards, connected in a similar fashion to the Basic Router Mode option, it only has one IP address, purely for administration purposes. The firewall shown in the diagram will have an internal address on the same subnet as the rest of the local LAN.

T'as jamais aimé Censornet jdh j'ai l'impression ....