Salut
Je suis en train de tester ipcop sur une machine où il n'y a pour le moment qu'une seule carte réseau.
J'installe ipcop en mode GREEN et l'adresse de cette carte est 192.168.20.1
Ensuite via ssh , je fais un ifconfig eth0:0 10.189.251.1 netmask 255.255.254.0 que j'aimerai configurer comme interface RED mais ca ne marche pas.
Aucune des machines situés sur le réseau 10.189.250.0 ne peut acceder aux machines configuré en 192.168.20.x.
Peut etre qu'avec une interface virtuelle , il n'est pas possible de faire cela c'est pour ca que je demande votre avis.
Merci d'avance si vous pouvez m'apporter une réponse.
Ipcop et interface virtuelle
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
Ipcop et interface virtuelle
par cyberfredcipcop » 05 Juin 2007 13:03
- cyberfredcipcop
- Matelot
- Messages: 4
- Inscrit le: 05 Juin 2007 12:58
par jdh » 05 Juin 2007 13:15
Il semble assez clair qu'IPCOP est prévu pour fonctionner avec AU MOINS 2 cartes réseaux.
La possibilité d'alias (qui aboutit à 2 interfaces réseaux) est une TRES MAUVAISE approche dans ce cas (partage de la carte GREEN par RED).
Il ne faut utiliser cette technique QUE dans le cas d'une carte RED pour laquelle il faut plusieurs adresses et pouvoir ainsi faire du SNAT par exemple. (Ceci n'est pas intégré dans IPCOP de base me semble-t-il).
La possibilité d'alias (qui aboutit à 2 interfaces réseaux) est une TRES MAUVAISE approche dans ce cas (partage de la carte GREEN par RED).
Il ne faut utiliser cette technique QUE dans le cas d'une carte RED pour laquelle il faut plusieurs adresses et pouvoir ainsi faire du SNAT par exemple. (Ceci n'est pas intégré dans IPCOP de base me semble-t-il).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par cyberfredcipcop » 05 Juin 2007 13:23
ok merci de la réponse , je sais qu'il faut normalement 2 interfaces physique mais je me demandais si c'etait possible avec une seule carte réseau.
Apparement , c'est pas evident.
Apparement , c'est pas evident.
- cyberfredcipcop
- Matelot
- Messages: 4
- Inscrit le: 05 Juin 2007 12:58
par clementcadbury » 05 Juin 2007 15:32
effectivement ce n'est pas une solution de production,
mais meme pour tester, c'est rajouter de la complexité et des possibilités d'erreurs la ou ca peut etre tres simple.
Meme si c'est surement possible (je vois pas pourquoi ca le serait pas) tu risque de te retrouver avec un test qui ne sera plus valable lorsque tu aura une machine avec plusieurs cartes réseau.
mais meme pour tester, c'est rajouter de la complexité et des possibilités d'erreurs la ou ca peut etre tres simple.
Meme si c'est surement possible (je vois pas pourquoi ca le serait pas) tu risque de te retrouver avec un test qui ne sera plus valable lorsque tu aura une machine avec plusieurs cartes réseau.
- clementcadbury
- Quartier Maître
- Messages: 11
- Inscrit le: 05 Juin 2007 12:19
par cyberfredcipcop » 05 Juin 2007 19:05
dac, merci les gars 
C'etait juste pour la culture perso
Je vais rajouter une deuxieme carte réseau et ca sera plus facile à mon avis.
Par contre pour l'info : en créeant une interface virtuelle eth0:0 , le pare feu ne fonctionne pas , il ne relaye pas les paquets du réseau 10.189.250.0 vers le réseau 192.168.2.0
C'etait juste pour la culture perso
Je vais rajouter une deuxieme carte réseau et ca sera plus facile à mon avis.
Par contre pour l'info : en créeant une interface virtuelle eth0:0 , le pare feu ne fonctionne pas , il ne relaye pas les paquets du réseau 10.189.250.0 vers le réseau 192.168.2.0
- cyberfredcipcop
- Matelot
- Messages: 4
- Inscrit le: 05 Juin 2007 12:58
par jdh » 05 Juin 2007 20:52
Je ne suis pas un ardent défenseur d'IPCOP.
Notamment parce la partie firewall est figée dans des couleurs associée à des règles par défaut que je considère comme laxistes.
Il est possible de faire mieux (ou corriger des choix discutables) grâce à une multitude d'add-ons qui évoluent indépendamment les uns et des autres (quand ils ne se concurrencent pas !). (BOT devrait être inclus de base).
Il y a en sûrement un pour ajouter la gestion d'alias (côté Red bien sur). Mais lequel ?
Sinon, même pour tester, 2 cartes réseaux sont indispensables et ne coûtent (presque) rien. (De préférence différente !).
C'est franchement perdre son temps ! Il vaut mieux le passer à tester IPCOP dès le départ dans de bonnes conditions que de bricoler une config "foireuse". Passer 1 jour et demi à faire marcher cette config sur 2 jour pour tester IPCOP, moi j'ai vite vu !
Notamment parce la partie firewall est figée dans des couleurs associée à des règles par défaut que je considère comme laxistes.
Il est possible de faire mieux (ou corriger des choix discutables) grâce à une multitude d'add-ons qui évoluent indépendamment les uns et des autres (quand ils ne se concurrencent pas !). (BOT devrait être inclus de base).
Il y a en sûrement un pour ajouter la gestion d'alias (côté Red bien sur). Mais lequel ?
Sinon, même pour tester, 2 cartes réseaux sont indispensables et ne coûtent (presque) rien. (De préférence différente !).
C'est franchement perdre son temps ! Il vaut mieux le passer à tester IPCOP dès le départ dans de bonnes conditions que de bricoler une config "foireuse". Passer 1 jour et demi à faire marcher cette config sur 2 jour pour tester IPCOP, moi j'ai vite vu !
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par cyberfredcipcop » 05 Juin 2007 21:44
pas de souci et je suis bien d'accord avec toi. La deuxieme carte réseau est déjà dans la machine et ipcop fonctionne à merveille 
C'etait juste une histoire de culture perso , car je connais bien ipcop pour l'avoir déployé quelques fois.
Je m'etais un jour amusé à tester les interfaces virtuelles avec iptables (une seule carte réseau donc) sur une fedora core 4 et je voulais juste m'amuser un peu avec ipcop.
Mais c'est clair que la politique du produit est clairement d'avoir 2 interfaces physiques au minimum
C'etait juste une histoire de culture perso , car je connais bien ipcop pour l'avoir déployé quelques fois.
Je m'etais un jour amusé à tester les interfaces virtuelles avec iptables (une seule carte réseau donc) sur une fedora core 4 et je voulais juste m'amuser un peu avec ipcop.
Mais c'est clair que la politique du produit est clairement d'avoir 2 interfaces physiques au minimum
- cyberfredcipcop
- Matelot
- Messages: 4
- Inscrit le: 05 Juin 2007 12:58
par Dfalm » 13 Juin 2007 11:51
Je rebondis donc sur "deux cartes miniumum"...
Sur le LAN on peut segmenter l'interface physique en n virtuelles ?
Mon idée à la base monter un GREEN et un ORANGE.
La response "une carte réseau ca coute 15euros" n'est pas acceptée.
Car mon interrogation est de monter n interfaces sur le LAN, GREEN, ORANGE ou VLANs "à ma guise".
Ou bien une autre solution segmenter ma carte LAN en n plages afin d'avoir (prenons un exemple concret)
10.0.1.0/21 GREEN
10.0.2.0/21 ORANGE
10.0.7.0/21 n-Vlan
Sur le LAN on peut segmenter l'interface physique en n virtuelles ?
Mon idée à la base monter un GREEN et un ORANGE.
La response "une carte réseau ca coute 15euros" n'est pas acceptée.
Car mon interrogation est de monter n interfaces sur le LAN, GREEN, ORANGE ou VLANs "à ma guise".
Ou bien une autre solution segmenter ma carte LAN en n plages afin d'avoir (prenons un exemple concret)
10.0.1.0/21 GREEN
10.0.2.0/21 ORANGE
10.0.7.0/21 n-Vlan
- Dfalm
- Second Maître
- Messages: 26
- Inscrit le: 07 Juin 2007 14:18
- Localisation: Rambouillet A ra178-1
9 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité