Plusieur IP Publiques

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Plusieur IP Publiques

Messagepar computer91 » 03 Fév 2009 13:59

Bonjour

je suis actuellement en train de mettre en place un serveur ipcop sur HP Proliant 380 G5 avec 4 carte réseaux 2 Inetl RPo 1000 et 2 Broadcom Next 1000; process xéon.

Addons d'install :

-qos
-advance proxy
- url filter
-copfilter
- Bot
- Update acceleratror
- Open VPN
- Blocker Layer 7
- calamris

Tout fonctionne très bien.

Voila mon problème, j'ai une liason avec 15 adresses ip public, je voudrais pouvoir une utilisé quelque adresse pour faire du nat vers un serveur du genre.
80.81.82.1 vers 172.20.10.1
80.81.82.2 vers 172.20.10.2

je sais que ipcop ne gère qu'une adresse ip publique c'elles qui est paramètrès dans l'interface red.

Peux t'on avec dès règles dans bot pouvoir gère cela ou il faudrait allez faire des modif dans iptables ou dans d'autre fichier.

Pouvez vous me guider ?

Pour info j'ai des recherches mais rien trouver.

Merci d'avance
computer91
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 27 Avr 2007 09:49

Messagepar ccnet » 03 Fév 2009 14:44

Cette question est récurrente. Nous y répondons environ tous les 2 ou 3 mois. pour ce qui est du nat avec ip multiples.
http://forums.ixus.fr/viewtopic.php?t=4 ... light=snat
http://forums.ixus.fr/viewtopic.php?t=2 ... ieurs++red
Comme vous le voyez BOT n'a rien à voir dans le nat.

D'une façon plus générale, vous allez utilisez ipcop au delà de sa conception d'origine. Les addons suivants ne sont pas à leur place sur un firewall :
-advance proxy
- url filter
- Copfilter
- Update acceleratror
- Calamaris

Vous pourrez sans doute "gérer des choses" avec BOT, mais comme ipcop n'est pas conçu pour cela, c'est sans garantie. Planter un clou avec un tournevis est parfois pénible.

Une configuration plus judicieuse consisterai à utiliser une machine plus modeste pour le firewall et à utiliser le DL 380 pour les services qui en ont besoin, précisément ceux qui ne devraient pas se trouver sur le firewall. Par ailleurs si vos besoins sont aussi importants (pourquoi pas en effet), ni ipcop, ni l'architecture ne me semble judicieusement choisie. Si vous avez usage de ce nombre assez important d'ip publiques, vous avez probablement des serveurs internes qui doivent être accédés de l'extérieur. Ce qui suppose une architecture sans doute autre que celle que peut gérer ipcop. De même tout miser sur le firewall (ce qui semble être le cas), c'est à dire se concentrer sur une défense presque exclusivement périphérique n'est pas optimale.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar computer91 » 03 Fév 2009 15:09

Merci pour tes réponses

Mais pour info ce serveur ipcop à 4 interfaces et ces sur une DMZ que je veux mettre les serveurs acceèssible depuis l'extérieur .

Serveur Mail.
Serveur FTP.

Voila
computer91
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 27 Avr 2007 09:49

Messagepar jdh » 03 Fév 2009 15:17

Je plussoie nettement ce qu'écrit ccnet !


Il faut voir un firewall comme un aiguilleur de paquet.
Pour cela, un firewall n'a pas besoin d'une grande puissance.
En fait, la puissance est plutôt lié au débit de la ligne Internet.

Et ce n'est pas les nat qui vont charger les machines : quand on en est à inspecter bit à bit les entêtes de trames ip, il n'est pas bien difficile de changer l'ip destination ou source !

Par ailleurs, il me semble que d'autres solutions qu'Ipcop sont mieux adaptées à "multiples ip". (Par exemple pfSense).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 03 Fév 2009 15:42

computer91 a écrit:Merci pour tes réponses

Mais pour info ce serveur ipcop à 4 interfaces et ces sur une DMZ que je veux mettre les serveurs acceèssible depuis l'extérieur .

Serveur Mail.
Serveur FTP.

Voila

Pourquoi "Mais" ? C'est bien en dmz qu'il faut mettre ces machines. Il faudra aussi veillez à ce que l'ip du serveur de messagerie possède un reverse dns correct. D'où la nécessité des modifications iptables afin que, lors de l'émission de paquet, l'ip source du serveur de mail ne soit pas celle de RED mais d'un alias.
Mette son serveur de mail sans intercaler une passerelle smtp avec AS et AV entre les deux est une folie. Installer ce traitement (AS-AV) sur ipcop est aussi une folie. Le relais devrait être en dmz et le serveur de mail dans le lan ou mieux dans une dmz interne.
Le FTP mérite aussi un reverse proxy pour sa protection. En dmz les différentes machines devraient ne pas pouvoir communiquer entre elles (cloisonnement, défense en profondeur), les vlans sont nécessaires.
Difficile à gérer avec ipcop.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar computer91 » 03 Fév 2009 16:03

Hello

CopFilter gère l'anti spam et l'anti virus.


les mails sont déja nettoyer par un anti span externe et il y a un anti virus sur le serveur mail.
computer91
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 27 Avr 2007 09:49

Messagepar ccnet » 03 Fév 2009 16:15

computer91 a écrit:Hello

CopFilter gère l'anti spam et l'anti virus.


les mails sont déja nettoyer par un anti span externe et il y a un anti virus sur le serveur mail.


Copfilter n'est pas une bonne solution compte tenu de son placement sur le firewall.
Si l'antivirus sur le serveur de mail concerne le système de fichiers c'est inutile ou presque.
Si il y a un antispam externe alors Copfilter est encore moins justifié.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar computer91 » 03 Fév 2009 16:22

Copfilter

L'anti spam est désactiver

l'anti virus est activer pour l'HTTP

J'ai regardé les 2 liens mais il n'y à rien qui me dit comment utiliser toutes mais IPs

Merci
computer91
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 27 Avr 2007 09:49

Messagepar computer91 » 03 Fév 2009 16:23

Pour un info j'ai une liaison Fibre 10 Mège sysmètriques
computer91
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 27 Avr 2007 09:49

Messagepar ccnet » 03 Fév 2009 16:38

computer91 a écrit:J'ai regardé les 2 liens mais il n'y à rien qui me dit comment utiliser toutes mais IPs

Merci


Avez-vous lu un minimum la documentation d'ipcop ? En outre le premier lien explique exactement comment utiliser les ip multiples sur red pour réaliser le type de nat que vous avez demandé.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar computer91 » 04 Fév 2009 13:51

merci pour toute vos réponses, j'ai regadré les doc set cela va résoudre mon probème.

Mais il faudrait que je mette en place de la redirection de depuis une autre ip publiques que c'elle qui est utilisé par ipcop sur l'interface red

Merci
computer91
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 27 Avr 2007 09:49

Messagepar ccnet » 04 Fév 2009 14:05

Créez un alias pour chaque ip. Vous pourrez ensuite les utiliser pour créer vos translations. Et enfin, pour les translations sortantes appliquez la procédure indiquée plus haut.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar computer91 » 04 Fév 2009 15:48

merci Amiral

Et à quand la version 1.5 ou 2 d'Ipcop.
computer91
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 27 Avr 2007 09:49


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron