IPCop et les VLANs, une question sur le firewall...

[PatHbt]

Bonjour à tous,

Grace au contenu de ce forum, je suis parvenu à faire fonctionner mes Vlans.
Il me reste 2 points à finaliser, où j'aurai besoin de conseils des connaisseurs du fichier rc.firewall.

NB: IP de GREEN = 172.24.250.250/24 et les Vlans = 172.24.2.250/24, 172.24.3.250/24,etc...

-1- Quelle règle ajouter pour que les Vlans ne puissent pas communiquer entre eux à travers IPCop ?

-2- Le proxy est transparent pour le réseau natif de GREEN (172.24.250.0), mais pas pour les Vlans.
En modifiant "http_port" de squid.conf comme suit :
http_port 172.24.250.250:800 172.24.2.250:800 172.24.3.250:800
et en paramètrant le proxy dans le navigateur des PC des Vlans, ceux ci transitent bien par le proxy pour accéder à Internet.
Mais comment rendre le proxy transparent pour les PC des Vlans ? Ce serait mieux...

Merci de votre aide...

PS:
Une fois ces 2 points résolus, je souhaiterai mettre cette procédure de création de VLANs dans un ADDON, mais je ne connais pas la façon de le créer. Si quelqu'un sait faire et a un peu de temps de libre... alors, Welcome.

A bientôt,
Patrice

[PatHbt]

Bien, apres avoir continué de glanner des infos sur plusieurs sites, je pense avoir trouvé mes réponses pour les 2 questions qui me restaient.

Je suis donc arrivé à interdire la communication entre mes VLANs, tout en autorisant les accès vers les réseaux ORANGE et RED, ainsi qu'à valider le proxy transparent pour chaque VLAN.

Je demanderai juste l'avis aux plus connaisseurs de ce que j'ai ajouté dans le "rc.firewall.local".
N'aurai-je pas dissimulé des dysfonctionnments ou trou de sécurité dans IPCop

Merci d'apporter vos jujements sur ces modifs:

rc.firewall.local
#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
start)
## add your 'start' rules here
## Règles pour les VLANS.
## On autorise: L'accès IPCop, l'acheminement vers la DMZ (eth1) et Internet (eth2),
## puis on valide le PROXY transparent pour chaque VLAN:
/sbin/iptables -A INPUT -i eth0.2 -m state --state NEW -j ACCEPT -p ! icmp
/sbin/iptables -A FORWARD -i eth0.2 -o eth1 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0.2 -o eth2 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0.2 -p tcp --dport 80 -j DNAT --to-destination 172.24.250.250:800
/sbin/iptables -A INPUT -i eth0.3 -m state --state NEW -j ACCEPT -p ! icmp
/sbin/iptables -A FORWARD -i eth0.3 -o eth1 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0.3 -o eth2 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0.3 -p tcp --dport 80 -j DNAT --to-destination 172.24.250.250:800
;;

Merci de vos réponses,
@+Pat

[nikogaug]

Moi j'y connais rien du tout mais je tente d'installer IPCOP sur le réseau de mon entreprise et c'était jsute pour te dire que j'étai très interressé par ton addon pour intégrer ipcop à un VLAN. Donc je veux bien me porter volontaire pour les tests.
Mais je suis vraiment débutant en linux et ipcop.

[Dfalm]

Tu as monté des interfaces virutelles donc.

A la mimine et pas par l'interface " d administration".

Est ce que c'est bien safe ? tu n'as pas rencontré de problème ?
(au premier coup d'oeil ca m'a l'air correct ton rc.local)

Mais je vois une eth2 tu as donc un Orange ?

Tu aurais un dessins ? de ce que tu veux faire ?
Si je comprends tu veux segmenter "GREEN" en n VLANs ?
Que les VLANs ne se voient pas entre eux.
Et sur la partie physique ? tout le monde est branché comment ?
C'est aussi segmenté par switches ou c'est "le joyeux bordel" ?


Tu corriges si je me trompes dans des affirmations/hypothèses

Et pis tiens nous au courant du fonctionnement ou pas, les feedbacks c'est bien :-p