Utilisation, fonctionnement d'une structure

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Utilisation, fonctionnement d'une structure

Messagepar Cowboy » 02 Avr 2007 16:24

Bonjour,

J'aimerais isoler une de mes salles avec un IPCOP en amont d'un switch.
J'ai installé IPCOP avec une interface Rouge (réseau local + internet + dhcp) et Vert (Réseau isolé).

De l'interface rouge, je peut me connecter aux deux IP, mais de la verte rien. Donc je me suis dit que peut être j'avais inversé les deux ... mais comment les identifier ?
J'aimerais aussi savoir comment activer le traffic entre les deux cartes, pour simplement bloquer quelque port ou ip ensuite.
Je m'y suis bien pris ?
Cowboy
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 02 Avr 2007 16:13

Re: Utilisation, fonctionnement d'une structure

Messagepar francois_web » 02 Avr 2007 16:40

Cowboy a écrit:De l'interface rouge, je peut me connecter aux deux IP, mais de la verte rien. Donc je me suis dit que peut être j'avais inversé les deux ... mais comment les identifier ?


Je ne suis pas sûr d'avoir tout bien compris.

De façon générale, il est plus simple d'avoir deux cartes réseaux avec une puce différente, et ainsi, lors de l'installation, on affecte le pilote que l'on souhaite à l'interface que l'on veut pour VERT,ROUGE (et les autres). On peut ensuite aller vérifier ce qui a été affecté en lançant en console sur la machine IPCOP la commande setup puis le menu réseau/affectation des pilotes et des cartes. Mais dans ce cas, n'est-il pas possible tout simplement d'interchanger les branchements ?

J'aimerais aussi savoir comment activer le traffic entre les deux cartes, pour simplement bloquer quelque port ou ip ensuite. Je m'y suis bien pris ?

Le trafic est actif par défaut sur un IPCOP avec les règles de base définies. Ensuite, quelques "add-ons" permettent de filtrer / bloquer de façon plus fine (squidguard / BOT pour ne citer qu'eux)
Avatar de l’utilisateur
francois_web
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 13 Mars 2007 12:32
Localisation: Ile-de-France (Est)

Messagepar Cowboy » 02 Avr 2007 17:03

J'ai deux cartes, une 3Com, détecté à l'installation, donc mise en verte.
Une autre qui est sur une carte SCSI qui à était détecté juste après la selection du mode "Green+Red".
3Com = verte
AMS = rouge

Si je branche tout comme il faut, je peut pinger et utiliser l'interface d'IP cop quand je suis sur l'interface verte mais pas d'internet et interface ultra lente.
Mais si j'inverse les deux cables, c'est le contraire.

Carte réseau morte ? pourtant il la détecté, installé et configuré.


AMD PCnet32 and AMD PCnetPCI(eth1) => http://www.smoothwall.net/support/hcg/?id=4 carte ok
J'ai essayé avec une autre carte, même symptome.
Cowboy
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 02 Avr 2007 16:13

Messagepar Cowboy » 02 Avr 2007 18:05

Quand je démarre IPCOP :

17:58:36 ipcop Starting RED device eth1.
17:58:50 ipcop IPCop started.


Pas de ETH0 ?
Cowboy
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 02 Avr 2007 16:13

Messagepar Titofe » 02 Avr 2007 18:44

La règle que j’ai pu remarquer avec les distribution comme IPCop ou SME, c’est qu’il attribué en 1er en carte réseau c’est celle qui est intégrer à la carte mère (Donc la Verte pour IPCop), puis après en partant du bas en remontant par le haut.

Pour ton problème de lenteur, je pense qu’il vient des paramètre que tu à rentrer pour Rouge et je pense surtout au DNS, regarde de ce cote là.

Titofe
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar Cowboy » 03 Avr 2007 09:52

J'avais mis les DNS oléane et en passerelle, le routeur ADSL.
Actuellement il n'y a rien, l'interface verte fonctionne, j'ai accès, mais de la rouge aucun signal.

Je met le serveur DNS ou l'ip de la rouge pour que la verte passe par la rouge ?

Toute les configuration que j'ai pu trouver sous IPCOP était de ce style la : http://www.ipcop.org/1.4.0/fr/install/html/decide-configuration.html#network-configurations


ici : http://www.ipcop.org/1.4.0/fr/install/html/initial-configuration.html
Vous n'avez à renseigner ces champs que si vous utilisez une adresse IP statique sur votre interface ROUGE.
J'ai justement une IP statique sur les deux interfaces
Verte : eth1 : 192.168.1.190
Rouge : eth0 : 192.168.1.191
Dernière édition par Cowboy le 03 Avr 2007 10:05, édité 2 fois au total.
Cowboy
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 02 Avr 2007 16:13

Messagepar francois_web » 03 Avr 2007 10:00

Cowboy a écrit:Verte : eth1 : 192.168.1.190
Rouge : eth0 : 192.168.1.191


VERT et ROUGE doivent être deux sous-réseaux différents.

http://forums.ixus.fr/viewtopic.php?t=37661&start=15

La salle devra donc avoir un plan IP propre, alors que ROUGE sera une IP du réseau lié au routeur (si j'ai compris la config...)
Avatar de l’utilisateur
francois_web
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 13 Mars 2007 12:32
Localisation: Ile-de-France (Est)

Messagepar Cowboy » 03 Avr 2007 10:05

Je ne peut pas faire ca : Image ?
Cowboy
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 02 Avr 2007 16:13

Messagepar Gesp » 03 Avr 2007 10:12

Non il faut que chaque sous-réseau ait une plage distincte.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Cowboy » 03 Avr 2007 10:15

On est réélement obligé ? ipcop ne fonctionne pas comme un firewall ? Prendre le traffic d'un port et l'envoyer sur un autre en bloquant certain port/domaine n'est pas possible ?? oO
Cowboy
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 02 Avr 2007 16:13

Messagepar edouardj » 03 Avr 2007 11:10

si tu peux faire ça mais change l'adressage réseau du côté rouge ou vert: 192.168.1.0 et 192.168.2.0 par ex. Tu peux monter un VPN SSL sur ton ipcop pour que ton poste se connecte au green.
Avatar de l’utilisateur
edouardj
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 150
Inscrit le: 10 Juin 2004 13:25
Localisation: Périgord (24)

Messagepar Cowboy » 03 Avr 2007 13:34

Justement, j'aimerais garder la même config IP des deux cotés, et faire simplement un filtre entre les deux machines.
Cowboy
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 02 Avr 2007 16:13

Messagepar Gesp » 03 Avr 2007 13:47

Tu peux définir 2 masques particulier pour séparer 19.168.1.X en 2 sous-réseaux mais vu que tes machines à isoler sont au milieu de la plage, ce n'est pas la solution la plus favorable.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar ccnet » 03 Avr 2007 13:57

Cowboy a écrit:On est réélement obligé ? ipcop ne fonctionne pas comme un firewall ? Prendre le traffic d'un port et l'envoyer sur un autre en bloquant certain port/domaine n'est pas possible ?? oO


Je pense que vous devez remettre à plat la compréhension que vous avez des réseaux Ethernet et IP. Elle est manifestement erronée. Si vous regardez comment fonctionne un réseau IP sur Ethernet, et en particulier le protocole ARP, vous comprendrez pourquoi vos ne pouvez pas, par construction, faire cela.
Dans le monde ip, les sous réseaux sont justement fait pour segmenter les réseaux, c'est exactement votre problème et c'est exactement ce que les concepteurs des réseaux IP ont fait.

IPCOP est un firewall, ses fonctionnalités ne sont pas en cause dans votre cas. Votre compréhension des réseaux ne correspond pas à la réalité, c'est là votre problème. Sinon c'est tout simple.

Enfin, pour terminer, sur un firewall, bloquer un domaine ne veut rien dire.

A lire et à comprendre, quelques pages tous les jours : http://christian.caleca.free.fr. Ca ira beaucoup mieux ensuite. Un problème bien compris est à moitié résolu.
Dernière édition par ccnet le 03 Avr 2007 13:59, édité 2 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 03 Avr 2007 13:57

Comme cela a été indiqué, à plusieurs reprises ces derniers temps, IPCOP ne fonctionne pas en "bridge".

Donc
soit tu as des réseaux différents au sens ip,
soit tu te créés un "bridge" pour cela (p.e. doc d'Alexis de Lattre pour Debian).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron