Deux RED pour DMZ et LAN

[samyboy]

Bonjour,

Je cherche à utiliser une interface red pour la dmz et une autre red pour le LAN. Mieux vaux un dessin que de grandes paroles :

Code: Tout sélectionner

                                                                 ________
                                                                /
                                        Cable DHCP             |
  ___---___                             ----------------------/
/          \                          |                     /
|   LAN     |-      +--------------+  |                    |
\___   ____/  '-----+GREEN-----RED1+---                   /
     ---             |              |                      |
                     | Linux router |                      |     Internet
                     |              |                      |
___---____    ------+ORANGE----RED2+--                     \
/          \  /      +--------------+  |  +------------+    |
|   DMZ     |-                         |  | Modem ADSL |     \
\___   ____/                           ---+            +-------
    ---                                   |            |       |
                                          +------------+        \________


Je n'ai pas mis de lien entre lan et dmz pour ne pas surcharger le graphique.

La connection cable possède une adresse IP DHCP (pour le LAN)
La connection ADSL possède une adresse IP statique (pour la DMZ)

La raison de deux connections au lieu d'une est simplement le fait que ça revient moins cher.

Quelle est la meilleure façon et qu'est-ce qui est possible ? Transformer l'interface BLUE en RED2 ? Créer une nouvelle interface ? Autre chose ?

Si vous pouviez me donner quelques indices de quelle est la façon la plus simple et quels outils je dois savoir utiliser.

J'ai pas mal de lacunes avec ipchains et iproute mais je n'hésite pas à rtfm si besoin est.

Merci

[m2nis]

Je cherche à utiliser une interface red pour la dmz et une autre red pour le LAN.

Ca n'est pas possible pour l'instant car Ipcop ne supporte qu'une interface red. Peut-être en mettant sérieusement les mains dans le moteur? En revanche, il semble que la version 1.5 (ou 1.6) annonce pas mal de nouveautés de ce côté là. A confirmer. Par contre, on doit pouvoir arriver à quelque chose avec deux Ipcop, mais ça complique quand même pas mal l'affaire...

[samyboy]

Salut,

Merci pour la réponse.

J'aimerais éviter de travailler avec deux IPCop.

Que se passe-t-il si j'utilise la bleue pour la connection Internet ?

Ou au pire, est-ce qu'il existe une distribution (Smooth etc) qui serait capable de supporter par défaut mon schéma ?

[m2nis]

Ou au pire, est-ce qu'il existe une distribution (Smooth etc) qui serait capable de supporter par défaut mon schéma ?

Mandrake MNF je pense. Mais, personnellement, quand j'ai voulu refaire des tests il y a quelques mois avec la version beta 2 (de mémoire), ça n'a été qu'une longue galère sans résultat. J'avais pourtant eu longtemps la version précédente avant de basculer sur Ipcop... Mais d'autres ont visiblement de bien meilleurs résultats, alors ça vaut peut-être la peine d'essayer.

[samyboy]

NMF ?
On parle bien de la même chose ?

Multi Network Firewall (MNF2) [MNF-10EN] 459,00-EUR

gloups la je suis moyen chaud.

Quand je parlais de distribution, je sous entendais par là un système qui s'approche de près ou de très près à la licence GPL.

Merci tout de même pour l'info.

[m2nis]

NMF ?

Non, MNF!

On parle bien de la même chose ?

Multi Network Firewall (MNF2) [MNF-10EN] 459,00-EUR

gloups la je suis moyen chaud.

La licence de distribution n'est pas très claire comme précisé ici: http://forums.fr.ixus.net/viewtopic.php?t=32595

Quand je parlais de distribution, je sous entendais par là un système qui s'approche de près ou de très près à la licence GPL.

En gpl, je ne sais pas très bien. Sinon, il y a aussi la ClarkConnect (http://www.clarkconnect.com/buy/) qui doit pouvoir le faire, et pour un prix qui reste raisonnable. Mais attention, si vous voulez faire du vpn avec autre chose que leur distribution, c'est... non. Mais j'avoue que quand j'ai découvert ça et que je m'en suis inquiété auprès d'eux, ils m'ont immédiatement proposé un remboursement. Efficace et très commerçant.

[reg]

dans les distrib libres gerant le multi wan, il y a pfsense (www.pfsense.org) qui est tres bien et qui sera disponible sous peu en version 1.0