ipCop dans reseau avec routeur-modem

[aXurit66]

Bonjour à tous.
Je souhaite utiliser Ipcop pour sécuriser mon LAN et je bute à la configuration.
Je résume ma config:
- un modem connecté à un routeur en Ethernet.
- PC et serveurs sur mon LAN.

Je souhaite conserver ma config et intercaler IpCop entre mon routeur et mon LAN. Ipcop ne me servira qu'a filtrer ce qui passe de mon routeur vers mon LAN et inversement.
Le but est de créer 2 zones:
- 1 zone derrière mon routeur en 10.0.xxx.xxx qui comprendra des services accessibles depuis le Net
- 1 zone derrière IpCop en 192.168.xxx.xxx correspondant à mon LAN.

J'ai 2 cartes réseaux sur la machine IpCop.
Je ne sais pas quelle configuration prendre, j'avais opté pour RED+GREEN mais dans l'interface web, IpCop me demande d'attribuer un modem à l'interface RED et j'en veux pas de ce p.... de modem. Et bien sur je n'arrive pas à contacter l'interface RED depuis le GREEN.

Tout d'abord est ce que ma config est réalisable avec IpCop ( est ce qu'on peut avoir l'interface RED comme une carte réseau connecté à un réseau dit "sensible").

J'espère avoir été clair, si ce n'est pas le cas je ferais un petit schéma.
Merci de vos réponses.

[aXurit66]

Bonjour,
je pense avoir trouvé ma config pour mon utilisation (RED+GREEN), mais j'ai tout de même des soucis:
- je pinge depuis mon LAN (GREEN) l'adresse GREEN de IpCop.
- je pinge depuis mon LAN l'adresse RED de IpCop.
- je n'arrive pas à pinger l'adresse de mon routeur (situé dans la classe de l'adresse RED) même en rajoutant une route statique sur mon routeur vers le réseau LAN.
Je sèche.
Est ce qu'il faut rajouter une route statique sur IpCop pour joindre la partie RED de mon réseau ?
Merci de vos réponses.

[pkaer]

Salut,

Cela serait plus simple si tu donnais un exemple.
avec ce que tu as écrit on peut imaginer :

Code: Tout sélectionner

Internet--Modem--Routeur(10.0.0.254)----(10.0.0.253)RED--IPCop--GREEN(192.168.xxx.253)--LAN
                                    |
                                    |
                                    |______(10.0.0.yyy)----DMZ


Dans ce cas :
- tes stations ont pour adresse de passerelle 192.168.xxx.253
- ton IPCop pour son interface RED est paramétré en @IP statique avec 10.0.0.253
- ton IPCop a pour Gateway 10.0.0.254
- ton IPCop a pour @DNS, soit l'@IP de ton routeur(10.0.0.254) , si celui ci peut fournir une résolution DNS, soit les @DNS de ton FAI

J'espère que cela t'aidera

@+
PK

[jdh]

Bien sur, le mieux est de fournir un petit schéma (fait par pkaer) ...

D'abord, je ne suis pas sur qu'IPCOP accepte facilement une adresse privée (10.x.x.x) pour sa carte Red. (Mais je peux me tromper).

Deuxièment, je pense qu'il ne s'agit pas de la meilleure architecture pour deux raisons simples : comment différencier simplement les machines entre IPCOP et le routeur, et Internet ? (Ok adresse réseau 10.x.x.x). L'autre raison simple est que les machines entre le routeur et IPCOP ne sont pas protégé par l'IPCOP.

Appelons DMZ la zone entre le routeur et IPCOP.

De base, IPCOP autorise tout de Green vers Red (trois fois hélas !! à quand BOT intégré de base ?). Donc aucun problème dans le sens Green vers DMZ.

Dans l'autre sens, il faut créer des règles de Red vers Green ... en ajoutant que la source est dans le réseau DMZ (c'est à dire 10.x.x.x)

Un bon schéma, c'est donc le traditionnel Red + Orange + Green. A noter que les machines précédemment entre le routeur et IPCOP devront changer d'adresse (a moins que ce soit le routeur et Red).

[andy2000]

je trouve qu'il y a une redondance inutile. Pourquoi ne remplacons pas le Routeur par le IPCOP ? Par experience (j'avais faite de cette manier Modem<->Routeur<->Ipcop), ca va relentie inutilement le transfere des paquets. De plus, un lourd gestion de Gateway, DNS et Forwarder.

La seule chose utile est qu'il y aura 2 mot de passe a' cracker si quelqu'un veut hacker dans notre reseau !

Moi je vote pour jdh, (red-orange-green) de cette maniere, nous pouvons meme monitorer les Serveurs dans zone orange.

[pkaer]

Bonjour,

Tout a fait d'accord avec les remarques de jdh. Il vaut mieux avoir une architecture GREEN+ORANGE+RED sur ton IPCop.

A part cela IPCop accepte sans problème des adresses 10.0.0.0/8 sur son interface RED.

Il manque aussi comme donnée le type de routeur utilisé. Beaucoup d'entre eux aujourd'hui embarquent des fonctions de Firewall et fournissent une DMZ

Concernant la redondance de routeur, les personnes qui ont Wanadoo et la LB n'ont d'autre solution car , si je ne me trompe pas, la LB ne sait pas fonctionner en mode bridge et regroupe les fonctions modem+routeur (avec FW et DMZ).

Pour résumer, il vaudrait mieux que ton routeur redirige tous les flux vers ton IPCop (fonction DMZ de la LB par exemple) et que tu gères ta DMZ derrière ce dernier

Code: Tout sélectionner

Internet--Modem/Routeur(10.0.0.254)--(10.0.0.253)RED--IPCop--GREEN(192.168.xxx.253)--LAN(192.168.0.0/16)
                                                            |
                                                            |
                                                            |--ORANGE(172.16.0.253)--DMZ(172.16.0.0/16)


@+
PK

[aXurit66]

Merci pour votre aide, je vais opter pour cette solution