Plusieurs IP Publique et IPCOP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Plusieurs IP Publique et IPCOP

Messagepar dracossan » 29 Mars 2007 11:17

Bonjour,

J'aimerais prendre une ligne sdsl puis la connecter sur un IPCOP.
Jai une plage de 8 IPs publiques et j aimerais savoir si IPCOP peut gerer les 8 ip sur une seule carte RED.

Ensuite savoir si il est possible de rediriger par exemple le port 80 de chaque ip publique sur une machine differente dans la DMZ , a partir de la console web ?


Merci messieurs pour vos reponses .
dracossan
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 09 Mai 2004 16:13

Messagepar shwing » 29 Mars 2007 11:52

par defaut, une carte RED = un IP.

peut-être qu'addon est capable de t'aider.
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar TechnX » 29 Mars 2007 12:01

Quoi qu'il arrive, je te conseil de séparer la charge entre plusieurs IPCOP ;)
TechnX
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 26 Mars 2007 16:03

Messagepar dracossan » 29 Mars 2007 12:09

ok merci des infos.

Alors suite a ca , est ce qu une virtualisation de plusieurs IPCOP fonctionne ?

Est ce que quelqu'un as deja essaye ?

Merci.
dracossan
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 09 Mai 2004 16:13

Messagepar Franck78 » 29 Mars 2007 23:01

A tout hazard je rapelle que IPCop gère (pas très bien il est vrai) les alias sur RED. Donc le pool d'IP, sur carte ethernet eiste bel et bien.

Le problème vienrait du NAT qui utilise toujours l'IP de base alors que pluiseurs persones aimeraient attribuer l'IP alias à un service ou à un serveur.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Elfeclair » 30 Mars 2007 00:15

Bonjour,

Je ne comprend pas bien les limitations que tu cites. Un IPCop gère sans problèmes (à ma connaissance) plusieurs IP publiques en alias sur la carte RED.
Je m'en sert pour adresser en NAT mes serveurs sur la DMZ (en Orange).
Elfeclair
De vin, de poésie ou de vertu, à votre guise.
IPCop 1.4.20 Rouge Bleu Vert / BOT / VPN IPSec + SSH Sentinel / VPN Zerina + OpenVPN / Celeron 900 Mhz / 512 Mo / Freebox / 18 Mb - 1 Mb /
Avatar de l’utilisateur
Elfeclair
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Nov 2002 01:00
Localisation: Paris, France

Messagepar ccnet » 30 Mars 2007 00:22

Dans le cas de l'utilisation d'une plage d'ip publiques, cette limitation d'IPCOP qui consiste à faire uniquement du NAT dynamique (c'est du moins ainsi que le définisse certains éditeurs ...), c'est à dire à tout translater avec une seule et unique adresse est parfois génante pour les raisons évoquées plus haut.
J'ai cru comprendre en cherchant ici que ce problème avait une solution avec Iptables. Je n'ai pas encore testé.
Peut être aurons nous une évolution sur ce point dans la version 1.5 ? Pour tout dire cela me simplifierai bien la vie dans un cas précis.
Le monde ne s'est pas fait en un jour, Ipcop non plus.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Franck78 » 30 Mars 2007 00:22

Oui mais il y en a qui aimerait bien que quand 'une machine*' devient cliente elle utilise un alias et pas l'IP RED. Et ca on peut pas.
Fait un tour sur sourceforge, features reques, c'est un truc qui revient toujours.

*Un serveur SMTP en DMZ par exemple
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tomtom » 30 Mars 2007 08:01

La règle iptables à ajouter pour assurer le nat sur la bonne interface de sortie en fonction de l'adresse source est relativement enfantine.
Je ne me rends pas compte de ce que ça représente à ajouter dans l'interface d'IPCop, mais ça ne doit pas être sorcier non plus.. .

Le faire à la main avec un script de 3 lignes peut être une bonne solution de dépannage si un besoin important existe (je pense avoir déja donné le genre de règles à applique sur ces forums, mais ce n'était pas récent).

Code: Tout sélectionner
iptables -t nat -I POSTROUTING -o IFACE_RED -s @ip_serveur_dmz -j SNAT --to-source @ip_publique_a_utiliser

ne devrait pas être loin du compte....

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar tomtom » 30 Mars 2007 08:08

Une recherche avec les termes "alias red SNAT" doncn tout de suite au moins 3 réponses pertinentes ;)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar dracossan » 30 Mars 2007 10:06

Merci pour vos reponses, mais je pensais pas cree une petite polemique :oops: :oops: ...

Juste pour finir, aucune experience dans la virtualisation de IPCOP ?

Je vais tester les alias ainsi que les regles IPTABLE, mais en cas de probleme ou de "lourdeur" d'admin, j aimerais tester cette autre solution.

J'ai cru voir quelque info sur de l'IPCOP sur WMWARE, et ce que quelqu un a deja essaye ? :roll:

Merci.
dracossan
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 09 Mai 2004 16:13

Messagepar tomtom » 30 Mars 2007 10:53

Ben je ne vois pas pourquoi ça ne marcherait pas, mais j'ai aussi un peu de mal à voir l'interet.

Un firewall, surtout avec l'architecture que tu decris, est un équipement sensible, et qui a besoin de performances au niveau des interfaces réseau.

Aller se créer des interfaces virtuelles dans une machine virtuelle, ça ne me semble pas l'idéal.
Par ailleurs, cela ne répondra pas directement à ton besoin, car tu auras alors plusieurs DMZ, ce qui n'est pas forcement ton but.
Et il faudra te mefier dans l'architecture que tu vas créer, avec plusieurs passerelles vers internet etc..

Bref, la solution en alias red me semble la plus simple ! Surtout si tu n'as pas vraiment besoin de sortir vaec des adresse sparticulières, ce qui est souvent le cas (sauf serveur mail on l'a vu)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar dracossan » 30 Mars 2007 11:15

Au niveau du serveur j'ai prevu un dual-opteron serie 2000 avec 4 go de ram avec 4 connections Giga, un peu comme celui la:
http://h10010.www1.hp.com/wwpc/us/en/en/WF06a/15351-15351-3328412-241644-241475-3186080.html

je pense que cela devrait suffir dans le cas ou un seul IPCOP doit tout faire ou dans le cas ou je test la virtualisation.

L'interet: une seul place dans le rack, et gain d'electricite. Je trouve dommage de devoir prend 8U si je dois utiliser 8 serveur ipcop different ... ( plus de consomation elect, et de clim ... )

et ce que tu penses que cela est trop juste au niveau puissance ?

merci de vos infos
dracossan
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 09 Mai 2004 16:13

Messagepar ccnet » 30 Mars 2007 11:17

Je ne l'ai jamais fait (ipcop sur VMWare) mais pour un firewall je ne le ferai pas non plus.
Dans l'ordre j'utiliserai les alias sur RED puis iptables si ce n'est pas satisfaisant.
La complication de l'architecture avec de multiples points d'acès et passerelles ne me parait pas aller dans le sens de la fiabilité d"administration. Plus c'est compliqué plus le potentiel d'erreur est élevé.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar tomtom » 30 Mars 2007 11:20

Tout à fait d'accord avec ccnet.

Ce n'est pas tant la puissance de la machine qui est en cause, mais surtout la complication inutile de l'architecture (utiliser 1 firewall par adresse ip !!!), quadn un seul firewall peut largement faire le boulot tout seul (surtout avec la mahine que tu annonces !).

Pour ce qui est de la virtualisation, je ne sais pas comment se comportent les interfaces réseau virtuelle dans VMWare, c'est surtout dans c esens que je trouve la mutualisation un peu dangereuse, mais seuls des tests peuvent répondre.


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron