Conflit IP publique DMZ/RED

[kenshir0]

Salut à tous,

Alors voilà, j'ai récemment installé un firewall IPCOP v1.4.10 pour mon réseau d'entreprise car je viens de changer de F.A.I.

J'ai installé l'add-on BOT (v2.2), et squidguard.

Concrètement, j'ai 4 cartes réseaux sur le PC et j'ai donc configuré IPCOP avec une interface VERTE, BLEUE, ORANGE et ROUGE.

[Net]
|
84.X.Y.A/28
|
[Routeur cisco duFAI]
|
Red=84.X.Y.B/28
|
[IPCOP]----Orange=84.X.Y.C/28------84.X.Y.D/28[serveur passerelle de messagerie]
|
Vert=192.42.172.X/24


Bref, je voulais que mon serveur de messagerie soit en DMZ avec mon Ip publique 84.X.Y.D/28 qui est reliée à mon champ MX pour qu'il puisse recevoir les mail directement depuis l'exterieur.

Hors hier je me suis aperçu qu'il n'était pas possible d'avoir un ORANGE et un ROUGE sur le même réseau et en effet, en configurant mon ipcop comme ci-dessus, je n'arrivait pas à pinguer ma dmz depuis mon ipcop et vice-versa.

Donc après toutes ces explications, j'espère que vous me suivez car je n'ai pas fini .....j'aimerais trouver une astuce qui me permette de faire fonctionner ma passerelle de messagerie

J'ai essayer la redirection de ports, c-a-d en mettant ma RED en 84.X.Y.D/28, mon serveur en 192.42.172.Y/24 et en redirigeant avec BOT tous les paquets du port 25 de l'IP red vert l'IP du serveur.

Le problème est que ça ne marche pas. En fait, il faudrait une fonction - qui ne semble pas présente sur IPCOP malheureusement - du style One-to-one NAT, c-a-d une translation d'adresse IP de [84.X.Y.D/28 vers 192.42.172.Y/24], cette fonction est présente sur bcp de firewall et est d'ailleurs très pratique car on peut joindre le serveur directement depuis la WAN sans avoir à le mettre dans une DMZ.

Bref si vous avez tout compris aidez-moi s'il vous plaît car pour le moment je suis obligé de coller mon pauvre serveur de messagerie directement derrière le routeur CISCO du FAI ce qui est assez dangereux car il est totalement vulnérable aux attaques.

[m2nis]

J'ai essayer la redirection de ports, c-a-d en mettant ma RED en 84.X.Y.D/28, mon serveur en 192.42.172.Y/24 et en redirigeant avec BOT tous les paquets du port 25 de l'IP red vert l'IP du serveur.

Plutôt que d'utiliser bot pour la redirection, essayez d'utiliser Pare-feu/Tranferts de ports. Je n'avais pas bot à l'époque où j'avais testé, mais ça fonctionne très bien.

[kenshir0]

Ok mais du coup je dois desactiver BOT non?

[m2nis]

Ok mais du coup je dois desactiver BOT non?

Les règles de transfert, c'est probable. Pour le reste, pas de raison je pense. Mais je n'utilise plus le transfert depuis que j'ai bot... Désolé.

[kenshir0]

donc j'essaierais ça en tout dernier recours...Merci

personne d'autre n'a d'idée???

[jdh]

Il y a eu un fil récemment sur l'adressage public en DMZ.

Il faut comprendre que ce n'est pas une bonne idée. D'une part il y a perte d'adresses. D'autre part il faut modifier la façon d'agir d'IPCOP qui considère que la DMZ est en adresse privée et fait donc du NAT.

Donc le mieux est de repenser cette architecture.

[kenshir0]

Donc le mieux est de repenser cette architecture

c'est à dire?

Je connais IPCOP depuis quelques semaines seulement et donc je ne savais pas qu'on ne pouvait mettre 2 adresses IP publiques d'une même plage sur ORANGE et RED.

J'ai donc mal choisi mon Adresse publique de mon champ MX car même si je scinde ma plage d'IPs en deux sous-réseaux comme expliqué ici:
http://forums.fr.ixus.net/viewtopic.php?t=32752

...j'ai quand même deux adresse dans le même sous réseau.

Bref, si je veux garder IPCOP je dois oublier la DMZ....donc qu'est-ce qu'il me reste comme choix?

J'ai pas mal navigué sur le forum et j'ai vu qu'une option nommée Alias pouvait m'aider ainsi que l'option Hôte statique...mais je n'ai pas encore bien saisi l'intérêt et surtout les possiblités qu'elles me fournissent....bref à suivre, et d'ailleurs si vous avez des infos ou des liens.....merci

[jdh]

J'ai participé à ce fil et j'ai déjà dit ce qu'il faut faire.

Une DMZ (Orange en terme IPCOPien) est destiné à recevoir les machines échangeant du traffic avec Internet de façon "directe". Tandis le le réseau local (Green) ne contient que des machines échangeant de façon "indirecte" (proxy pour la navigation, relais mail pour le serveur de mail interne, ...)

Ces 2 types de réseaux DOIVENT utiliser des adresses privées (RFC1918 : 10.x.x.x, 172.16-31.x.x ou 192.168.x.x). Le firewall effectuera une translation d'adresse en sortie (NAT et plus précisément MASQUERADE dans le cas de Linux).

Pour des serveurs en DMZ, l'IPCOP effectuera des transferts de ports vers ceux-ci. Il est même possible d'utiliser des "alias" c'est à dire attribuer plusieurs adresses du côté Red (c'est à dire plusieurs adresses publiques) et de faire les renvois (adr1+port -> serveur1, adr2+port -> serveur2). Ce cas est destiné à plusieurs serveurs délivrant le MEME service. Parce que plusieurs serveurs gérant des services différents peuvent avoir la même adresse publique bien évidemment. On parle ici de DNAT et de SNAT (pour plisuers serveurs).

Enfin ça c'est la théorie (et c'est qu'il vaut mieux faire en pratique). Comment IPCOP le fait-il, je l'ignore.


Pour revenir à ton cas, il est tout à fait EVIDENT que le réseau Orange (DMZ) NE PEUT PAS être le même que le réseau Red. Ceci au sens ip bien sur. Donc le n° de réseau DOIT être différent.

Si tu ne comprends pas ce dernier paragraphe, je ne peux rien pour toi. D'ailleurs, il suffit de réfléchir : comment l'IPCOP peut diriger un traffic sur une carte ou l'autre puisqu'elle sont dans le même réseau.

[kenshir0]

Merci, j'ai très bien compris le dernier point, c'est pour cela que je me dirige plutôt vers la solution "alias", seulement voilà, j'ai lu sur ce forum qu'en utilisant cette option, les paquets de sortie avaient l'adresse par défaut du routeur et pas celle du seveur (l'ip publique mise en alias) sur laquelle tu NAT.

Ceci pose alors le problème du nombre croissant de serveurs qui font du reverse DNS avant d'accepter les messages...y'a t'il une solution à cela?

Si tu ne comprends pas ce dernier paragraphe, je ne peux rien pour toi. D'ailleurs, il suffit de réfléchir : comment l'IPCOP peut diriger un traffic sur une carte ou l'autre puisqu'elle sont dans le même réseau.

Il existe des solutions logicielles pour ça mais là n'est pas le problème et ma confusion venait du fait que n'importe quel firewall/routeur pro possède au moins trois interfaces: une DMZ une LAN et une WAN ...et donc je pensais que ce schéma était reproductible avec IPCOP.......

Mais merci pour ta réponse et je vais bosser tout ça ce week-end!

.

[jdh]

Le pb des "alias" peut survenir quand c'est le serveur en DMZ qui initie le traffic : par exemple un serveur de mail. Par contre en "réception", il n'y a aucun problèmes avec les alias. On appelle cela le SNAT.

Quand on a compris le problème, c'est assez facile pour peu qu'on connaisse bien netfilter/iptables d'écrire les bonnes règles. J'ignore comment on fait avec IPCOP, d'autant qu'il y a une interface web qui masque et fige un peu les choses.

Enfin, il ne faut pas oublier que ce n'est pas parce on veut avoir plusieurs serveurs en DMZ qu'on a besoin de plusieurs adresses publiques.

Il est facile de diriger selon le port vers l'un ou l'autre des serveurs. Je pense que c'est une erreur d'utiliser une adresse publique spécifique par serveur en DMZ : en définitive, on se complique la vie.

A noter un article sur le sujet de Netfilter dans Linux/Magazine de ce mois (Mai 2006 n° 83). Un début sur le sujet même s'il est peu pédagogique. Un bon site sur Netfilter celui de Christian Caleca : http://christian.caleca.free.fr/