[IPCOP] 1 carte réseau pour 2 sous réseaux...

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[IPCOP] 1 carte réseau pour 2 sous réseaux...

Messagepar Taow » 08 Avr 2008 19:36

Bonjour,

je souhaiterais savoir comment on configure IP cop afin qu'il puisse utiliser une deuxiéme adresse ip fixe sur son eth0 correspondant à ma patte interne (green)
La deuxieme carte réseau étant la RED qui part sur internet ou plus tôt mon routeur netgear.

si celà peut vous guider, sur mon routeur netgear la fonction que je cherche de IPCOP s'appel Lan Multi-Homing

Je cherche tous simplement à utiliser IPCOP comme un routeur par/feu de sortie pour tous mon réseau (dont le sous masque est 255.255.255.192) pour qu'il parte vers un réseau (255.255.255.0) qui va sur le net

Mon routeur NetGear le fait mais il ne fait pas de filtrage, ...
Je comptais donc sur IPCop pour le faire.

Je ne sais pas si vous comprenez ce que je cherche mais pour toutes questions je me tiens à votre disposition (en journée seuleemnt car je n'ai pas internet chez moi)

Merci beaucoup

Cordialement

Xophe
Taow
Matelot
Matelot
 
Messages: 5
Inscrit le: 08 Avr 2008 19:19

Messagepar ccnet » 08 Avr 2008 22:43

Sur votre demande de base, plusieurs ip sur l'interface RED, la réponse est très simple. IPCOP ne sait pas faire, il n'est pas conçu pour cela. Deux solutions possibles (ca me rapelle quelque chose ...)
1. "Bricoler", plus ou moins proprement. Surement possible mais surement très difficile d'en maitriser toutes les conséquences avec ipcop. Et des difficulté de getsion certain puisque l'interface ipcop ne prend pas cela en charge.

2. Une autre solution : Pfsense. Il sait faire.

Pour aller plus avant je ne comprend pas bien (je le pressent, mais vous n'expliquez rien) comment les sous réseaux s'articulent et pourquoi ils sont nécessaires. Le sont ils ?

Que serait la configuration du Netgear dans cette hypothèse, est il directement connecté à internet ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Taow » 09 Avr 2008 09:54

ccnet a écrit:Sur votre demande de base, plusieurs ip sur l'interface RED, la réponse est très simple. IPCOP ne sait pas faire, il n'est pas conçu pour cela. Deux solutions possibles (ca me rapelle quelque chose ...)
1. "Bricoler", plus ou moins proprement. Surement possible mais surement très difficile d'en maitriser toutes les conséquences avec ipcop. Et des difficulté de getsion certain puisque l'interface ipcop ne prend pas cela en charge.

2. Une autre solution : Pfsense. Il sait faire.

Pour aller plus avant je ne comprend pas bien (je le pressent, mais vous n'expliquez rien) comment les sous réseaux s'articulent et pourquoi ils sont nécessaires. Le sont ils ?

Que serait la configuration du Netgear dans cette hypothèse, est il directement connecté à internet ?


Bonjour et merci beaucoup de votre réponse.
En effet je me suis pas très bien exprimé.

Je vais essayer de mieux m'exprimer.

Actuellement le réseau se présente tel quel:

- En local: un réseau compossé de sous réseau avec un masque en 255.255.255.192 (au total 3 sous réseaux sont utilisés)
- Le routeur Netgear fait sortir tous les sous réseaux sur Internet. Mais il fait aussi VPN.

Je veux donc laisser le NETGEAR en tête, et je veux ajouter Ipcop entre le NetGear et le réseau LAN, afin de filtrer le contenue qui sort.

Je veux donc utiliser qu'une seule IP sur l'interface RED, mais 3 IP sur l'interface GREEN.
Je voudrais qu'il s'occupe de faire communiquer les 3 sous réseaux entre eux (si c'est possible), et qu'il filtre le contenue de tous ce qui route vers l'intreface RED (tous ce qui passe à travers lui).

J'éspère que je me suis mieux exprimé, Je me tiens à votre entierre disposition pour toutes questions concernant des points que j'aurais oblié de donner.

Merci pour tous

Xophe

PS: Pour le NetGear: oui il reste connecté sur internet, je veux juste faire en sorte que tous ce qui part sur Internet soit filtré, mais pour les raisons de VPN le NetGear doit rester en tête. Il est fort probable aussi que ce que je veux faire soit infesable ou du moins qu'il ne faut pas faire comme je le vois. Mais je ne sais pas comment être certains que les trois sous réseaux puissent être vraiment filtrés. Il va peut être faloir que je mette un routeur avant l'IPCOP pour tous réunir, mais je voudrais éviter.

Merci encore
Taow
Matelot
Matelot
 
Messages: 5
Inscrit le: 08 Avr 2008 19:19

Messagepar ccnet » 09 Avr 2008 10:18

Je voudrais qu'il s'occupe de faire communiquer les 3 sous réseaux entre eux (si c'est possible), et qu'il filtre le contenue de tous ce qui route vers l'intreface RED (tous ce qui passe à travers lui).

Mais pourquoi avoir 3 sous réseaux distinct si c'st pour que tout communique ?

Dans une grosse structure (plusieurs centaines, voire plusieurs milliers d'utilisateurs) 3 sous réseaux peuvent éventuellement se justifier, mais dans une petite je ne saisi pas bien l'utilité que vous en avez.
Je dis petite structure car dans une grosse vous auriez les compétences internes pour gérer cela et manifestement vous ne les avez pas.

Il y a bien deux solutions dans votre cas. Comme je vous l'ai dit soit Pfsense à la place d'ipcop, soit un routeur devant ipcop en effet. Maintenant globalement tout cela est un peu alambiqué, tordu, pour n'en retirer aucun avantage particulier. Vous avez les inconvénients d'une complexité qui ne se justifie pas.
Il est parfois nécessaire de remettre les choses à plat, en bon ordre.

Au surplus j'imagine que le netgear ajoute sa propre translation d'adresses ?

Encore une fois ipcop ne gère pas les adresses multiples sur GREEN, ni ailleurs de façon satisfaisante.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Taow » 09 Avr 2008 12:27

ccnet a écrit:Mais pourquoi avoir 3 sous réseaux distinct si c'st pour que tout communique ?


Je comprend bien votre question et inquetudes.
La réponse est: Il s'agir d'une ancienne stratégie qui a était étabile il y a dix ans de ca, mais qui est devenue obsolette, elle me fait plus ch*** qu'autre chose, car le nombre de client a grossis (10 au départ plus de 50 désormé), et elle n'est plus utilisable, mais nous ne pouvons pour le moment pas modifier, la modification est prévue pour dans 4 mois, donc pour le moment elle reste comme ca, je viens d'arrivé dans la boite, je ne peus pas encore tous retourner d'un coup, je fais petit à petit. On m'a accordé une coupure de tous le réseaux pour ces changement que dans 4 mois lorsque le trafique sera moins important. pour le moment les coupures ne doivent pas être de plus de 30 minutes.

Je compte comme vous me le suggerez tous remettre a plat, mais il y a beaucoup de choses qu'il faudrait faire et prévoir avant, je repart pratiquement à zéro, sauf que le réseau existe et qu'il est utilisé depuis des années, une coupure de plus de 30 minutes est un scandale :)
Actuellement c'est un réseau d'entreprise, mais qui ressemble plus à un réseau de maison ;)
Sa se sent qu'il n'y a plus eu de suivit depuis plusieurs années.

Je suis seul pour tous gerer, alors je fais petit à petit, le temps que je m'imprégne bien du réseau.
Mais durant 4 mois encore je vais devoir réster avec un réseau comme il est actuellement.

Tordu cert, mais je vais faire avec pour le moment.
Je vais suivre vos conseils.
Je vais regarder comme vous me le suggérez Pfsense (en espérent qu'il soit cappable d'interdire les accés aux sites par blackliste et qu'il face un peu de routage)
Sinon je verrais avec un autre routeur

Merci pour tous vos conseils.
Pour toutes questions je me tiens a votre disposition (désolé pour le retard de mes réponses )
Je vous tiendrais au courant si Pfsense à résolut mon problème ou si j'ai fais autrement.

un grand Merci pour votre aide
Taow
Matelot
Matelot
 
Messages: 5
Inscrit le: 08 Avr 2008 19:19

Messagepar ccnet » 09 Avr 2008 13:01

Je comprend bien la situation. Dans ce genre de cas il y a aussi la possibilité des opérations "commando" le week et la nuit. Je ne sais pas si vous êtes le patron pour l'informatique, mais a priori vous manquez du soutien de la direction générale. Je connais peu d'entreprises de 50 personnes où l'on se prenne autant au sérieux avec son réseau. Le genre d'entreprise où l'on veut tout pour rien et sans effort ni contrainte. Bref pas le genre à se faire assister si besoin.

Peu importe, faisons avec ce qui existe et les contraintes du moment.

Pfsense présente trois avantages au moins dans votre situation.

1. Il sait faire ce dont vous avez besoin pour les quatre mois qui viennent et il peut être complété par un proxy.
2. Il pourra rester dans votre architecture finale sans aucun problème donc c'est une installation qui ne sera pas inutile.
3. C'est un excellent produit, tout comme ipcop, plus puissant et un peu plus complexe.

Si vous vous y prenez bien avec un Pfsense configuré en vue d'un réseau "cible" vous devriez pouvoir migrer votre réseau avec très peu d'interruptions et surtout progressivement. Vous avez vraiment intérêt à soigner la préparation et les tests.
Vu le traffic réseau qui va traverser cette machine voyez les infos données sur le site en matière de dimensionnement de la machine.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Taow » 09 Avr 2008 13:47

ccnet a écrit:Je comprend bien la situation. Dans ce genre de cas il y a aussi la possibilité des opérations "commando" le week et la nuit. Je ne sais pas si vous êtes le patron pour l'informatique, mais a priori vous manquez du soutien de la direction générale. Je connais peu d'entreprises de 50 personnes où l'on se prenne autant au sérieux avec son réseau. Le genre d'entreprise où l'on veut tout pour rien et sans effort ni contrainte. Bref pas le genre à se faire assister si besoin.

Peu importe, faisons avec ce qui existe et les contraintes du moment.

Pfsense présente trois avantages au moins dans votre situation.

1. Il sait faire ce dont vous avez besoin pour les quatre mois qui viennent et il peut être complété par un proxy.
2. Il pourra rester dans votre architecture finale sans aucun problème donc c'est une installation qui ne sera pas inutile.
3. C'est un excellent produit, tout comme ipcop, plus puissant et un peu plus complexe.

Si vous vous y prenez bien avec un Pfsense configuré en vue d'un réseau "cible" vous devriez pouvoir migrer votre réseau avec très peu d'interruptions et surtout progressivement. Vous avez vraiment intérêt à soigner la préparation et les tests.
Vu le traffic réseau qui va traverser cette machine voyez les infos données sur le site en matière de dimensionnement de la machine.


Merci beaucoup pour toutes vos informations, vous me rendez vraiment un trés trés grand service.
Pour répondre à vos questions, je ne suis pas le patron non :)
On pourrait même dire que quitte à peine les écoles ... :)

Je suis chargé de m'occuper de tous le raiseau mais ne faisant que quelques jours que je suis dans l'entreprise, je ne prend pas encore totalement les décisions seuls, je fais part de mes remarques, puis les fait approuvé qu'il faut faire les travaux nécéssaires, par mon supérieur (qui n'est pas informaticien)

4 mois c'est tous simplement pour que je preines vraiment connaissance et me familiarise avec le réseau, l'entreprise et les salariés.
Anciennement c'était une SSII qui avait la maintenance, mais si j'ai bien compris sa fait plus de 3 ans qu'elle n'interviens plus.
Vue que je suis seul sur ce poste, et que je vois l'état du réseau je présume que les derniers travaux faient par un professionnel date de cette periode.

Le soutiens, bha le directeur je ne le connais pas encore vraiment puisque je ne m'adresse pour le moment pas directement à lui. Sinon j'ai celui de mon supérieur, mais couper les emails ... aux commerciaux (90% de l'effectif) c'est fatale, ils se précipitent tous sur le fax et les téléphones.
Les nuit commandos, commances mais tous doucement, 2heure du matin, fut pour le moment le plus tard.
Mais l'intervention de changer le réseau est prévue pour une soirée commando voir même un weekend
Les gens quittent tard le soir (20h voir plus) donc le mieux c'est quand les gents sont en congés, et les weekends.

Donc en faite mon travail actuel consiste à préparer le terrain comme vous le dites si bien. mais aussi faire passer les changements petits a petits.
Je ne peus pas tous bousculer d'un cout, surtous que je ne connais pas encore complétement le réseau, et risquerais de rendre certains serveurs cachés innacessibles.
Donc Pfsense va beaucoup m'aider si vous me dites qu'il fait comme Ipcop voir mieux.

J'éspère que Pfsense est capable de gérer des blacklistes et filtrer les applications comme fait si bien ipcop? (p2pbloc l7bloquer ...) et qu'il à un super suivit par log.

Enfin voilà je penses que vous connaissez désormé ma situation.
Je vous remerci vraiment de votre aide, sa fait plaisir de suivre les conseils et d'être guidé par un professionnel.

Merci Beaucoup,
Je vais me renseigner sur Pfsense que je ne connais pas du tous.
Taow
Matelot
Matelot
 
Messages: 5
Inscrit le: 08 Avr 2008 19:19

Messagepar Franck78 » 09 Avr 2008 23:01

Salut,

Moi je dirais que tu as 4 mois pour préparer un plan de migration pour 50 postes.
Largement le temps pour soigneusement répertorier les flux, les périmètres, les serveurs et tout le tralala.

Une bon exercice en somme. C'est à mon avis une perte de temps de vouloir faire 'maintenant' une fausse modification du réseau. 10 ans, 3 ans, ils ne sont plus à 4 mois près. Sauf si il y a un piège. Et mettre en place un nouveau truc rapidement en est un.


C'est un classique du genre. On adapte suivant les contraintes. Pas d'arrèt de tout le service? montage d'un archi cible et déplacement un à un des postes clients sans précipitation. Puis les serveurs de données. Suppression des mesures temporaires.
Les bascules en un weekend, c'est très cher. Il faut au moins plusieurs personnes 'préparées' (selon les modifs pour normaliser le tout.....

Drole de PME ou alors 50 c'est juste le sous réseau des directeurs/pdg et autres personnages '..trouver qualif adaptées..' ?

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Taow » 10 Avr 2008 10:05

Franck78 a écrit:Salut,
Une bon exercice en somme. C'est à mon avis une perte de temps de vouloir faire 'maintenant' une fausse modification du réseau. 10 ans, 3 ans, ils ne sont plus à 4 mois près. Sauf si il y a un piège. Et mettre en place un nouveau truc rapidement en est un.


Salut Franck

NonNon pas de piége, c'est juste que je veux déjà faire en sorte que tous les utilisateurs se plient aux nouvelles régles (pas de site de humhum au boulot, ...), standardisation des pc clients ...
Une petite boite maison qui à grandie en commerciaux (puisque c'est eux qui font le plus grand nombre d'utilisateurs) et une infrastructure qui n'a pas évoluée.
Mais elle va devoir évoluer.
Un trés bon exercie en effet.
En tous cas merci à tous, pour vos nombreux conseils, suite à vos conseils et réactions, celà m'a beaucoup aidé.
@ bientôt

PS: Merci a tous pour votre aide, pour le moment le projet est mis de côté, je penses que je mettrais ce serveur en place lorsque le réseau sera mieux organisé. Je prend note de PFsens qui sera peut être le serveur mis en place.
En tous cas je vous remerci à tous et toutes de votre aide active, et vous tiendrais au courrant des changements si changement il y a.

A bientôt
Taow
Matelot
Matelot
 
Messages: 5
Inscrit le: 08 Avr 2008 19:19


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron