Insertion des machines IPcop Dos à Dos dans un reseau

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Insertion des machines IPcop Dos à Dos dans un reseau

Messagepar marouane52 » 27 Août 2008 05:06

Bonjour tous le monde je suis nouveau dans le monde de IPcop .
j ai un sujet de stage consiste à implémenter un système de sécurité au sein d'une société

la premiere architecture proposé est
+ La mise en place d’un pare-feu logiciel (ISA server 2004) pour l’utiliser comme une barrière de sécurité entre Internet et le réseau interne.
+ La mise en place d’un pare-feu matériel (PIX 525), qui est équipé de trois interfaces au minimum (outside, inside et dmz).
et voila le schéma qui illustre cette architecture qui est proposé
:
Image

alors moi j ai voulu la changer on insérant à la place du ISA server et le PIX , deux machines IPcop DOS à DOS et je veux savoir est ce que c'est la meilleure solution dans mon cas .
merci infiniment .
marouane52
Matelot
Matelot
 
Messages: 2
Inscrit le: 27 Août 2008 04:35

Messagepar Gesp » 27 Août 2008 09:46

alors moi j ai voulu la changer on insérant à la place du ISA server et le PIX , deux machines IPcop DOS à DOS et je veux savoir est ce que c'est la meilleure solution dans mon cas .


Certainement non.
Tu vas introduire un niveau de NAT pour pas grand-chose, ce qui ne va pas être terrible pour les vpn IPSEC dans certains cas. Puis tes 2 dmz ne seront pas normalement accessibles comme prévu, sans contorsions.

Mieux vaudrait un seul IPCop+BOT (block out traffic).
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar marouane52 » 27 Août 2008 10:26

merci beaucoup pour votre réponse , donc je vais utilisé une seule machine IPcop et le plugin que vous m avais dis
et je pense que le schéma sera comme celui la

Image
marouane52
Matelot
Matelot
 
Messages: 2
Inscrit le: 27 Août 2008 04:35

Messagepar ccnet » 27 Août 2008 10:40

Le schéma est le bon avec BOT comme indiqué pas Gesp (indispensable). Pour la mise en oeuvre attention toutefois à une limitation d'ipcop concernant sa gestion des adress ip publiques multiples sur RED. Si il n'y a que des serveurs web dans la dmz cela peut convenir. Ne perdez pas de vue que lorsqu'une machine va envoyer (initier) du trafic sortant elle le fera uniquement avec l'adresse ip publique de base de RED comme ip source et jamais les alias même si il existe des transfert de port.
Ce comportement peut être modifié en ajoutant quelques lignes dans /etc/rc.d/rc.firewall. Tous les détails dans ce sujet : http://forums.ixus.fr/viewtopic.php?t=40746
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité