Bonjour,
Orange viens de m'attribuer une plage de 10 adresses IP WAN. Je me demandanis comment j'allais pouvoir les utiliser. Voici mon architecture :
Internet <=>IPCOP<=>LAN avec un serveur web
Je voudrais ajouter un second serveur web, deux possibilités s'offre à moi :
- reverse proxy d'Apache
- utiliser un seconde adresse IP WAN
Je préfère tester la seconde solution mais je ne sais pas trop comment attaquer. Je précise que je n'ai qu'une carte RED et que les 10 IP WAN arrievnt sur cette même carte...
Merci pour vos idées.
Nusa
Plusieur IP WAN
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
Plusieur IP WAN
par nusa » 23 Mars 2009 10:53
- nusa
- Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 30 Mars 2005 15:10
- Localisation: Entre la pomme, les fenetres et les pingouins...
par jdh » 23 Mars 2009 11:05
La logique c'est que l'opérateur fasse remplir une demande d'adresses ip pour justifier la requête.
Enfin SFR me l'a demandé car je quitte Orange (coût principalement).
Donc, ici, je demande des adresses ip et je me pose APRES la question comment les utiliser. De plus je dispose d'IPCOP.
Bon, désolé de décevoir, une, IPCOP n'est pas adapté à la gestion de plusieurs adresses (à moins de bricoler le script firewall ... à la main), deux, pourquoi avoir demandé ces adresses ?
A la rigueur, l'opérateur peut attribuer un /29 soit 5 adresses dispo. Mais un /28 c'est du gaspillage pur et simple.
Avec une adresse ip publique, on peut sans difficulté avoir 3 serveurs web différents, 1 serveurs mail (relais), un serveur FTP : toutes machines différentes mais une SEULE adresse ip externe.
Bon alors la réponse c'est sans moi.
Enfin SFR me l'a demandé car je quitte Orange (coût principalement).
Donc, ici, je demande des adresses ip et je me pose APRES la question comment les utiliser. De plus je dispose d'IPCOP.
Bon, désolé de décevoir, une, IPCOP n'est pas adapté à la gestion de plusieurs adresses (à moins de bricoler le script firewall ... à la main), deux, pourquoi avoir demandé ces adresses ?
A la rigueur, l'opérateur peut attribuer un /29 soit 5 adresses dispo. Mais un /28 c'est du gaspillage pur et simple.
Avec une adresse ip publique, on peut sans difficulté avoir 3 serveurs web différents, 1 serveurs mail (relais), un serveur FTP : toutes machines différentes mais une SEULE adresse ip externe.
Bon alors la réponse c'est sans moi.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 23 Mars 2009 11:13
Vous avez effectivement deux approches possibles.
Pour la première solution il y a un fil assez récent sur le sujet, je suppose que vous savez déjà comment faire donc je ne le recherche pas.
Pour la seconde, si vous faites une petite recherche sur le forum vous trouverez une réponse :
http://forums.ixus.fr/viewtopic.php?t=4 ... light=snat
Tout est dans le quatrième message du fil cité.
Un reverse proxy offre un avantage en terme de sécurité si on ajoute les modules adaptés sur Apache. Ce qui n'empêche pas d'ailleurs d'utiliser une ip publique par serveur web. Cela dit je trouve que l'on arrive aux limites fonctionnelles d'ipcop dans cette situation car le reverse proxy pourrait être avantageusement placé dans une dmz différentes de celle des serveurs web. Ce qui n'est pas possible avec ipcop.
Pour la première solution il y a un fil assez récent sur le sujet, je suppose que vous savez déjà comment faire donc je ne le recherche pas.
Pour la seconde, si vous faites une petite recherche sur le forum vous trouverez une réponse :
http://forums.ixus.fr/viewtopic.php?t=4 ... light=snat
Tout est dans le quatrième message du fil cité.
Un reverse proxy offre un avantage en terme de sécurité si on ajoute les modules adaptés sur Apache. Ce qui n'empêche pas d'ailleurs d'utiliser une ip publique par serveur web. Cela dit je trouve que l'on arrive aux limites fonctionnelles d'ipcop dans cette situation car le reverse proxy pourrait être avantageusement placé dans une dmz différentes de celle des serveurs web. Ce qui n'est pas possible avec ipcop.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par nusa » 23 Mars 2009 12:26
Bonjour,
Tout d'abord merci beaucoup pour c'est réponse.
JDH : Effectivement, je viens de remplir le document de SFR pour un autre client afin de justifier de l'utilisation des IP publics. Pour le cas exposé, je n'ai rien demandé, cela fait parti des "packages" que seul Orange sait encore faire : Une SDSL, de la VOIP, un pack de 10 IP publique et tout plein chose que l'on pas obligatoirement besoin mais cela fait parti du "panier cadeau"..... Nous avons d'un coté SFR qui nous fait remplir un dossier complet pour une IP publique et Orange qui les distribue par paquet de 10 ..... chercher l'erreur
Pour revenir au dossier : cela tombe peut être bien qu'IPCOP arrive en limite de fonctionnalité avec ce point car je doit le changer et je me demdais IPCOP ou Pfsense.......
CCNET : Merci pour vos réponses, je vois que vous êtes aussi récatif sur IPCOP que sur Pfsense... vous arrivez à trouvez du temps pour vivre entre ses 2 forums?
Je ne suis pas très chaud pour le reverse proxy, intellectuellement sûrement intéressant mais ce n'est hélàs pas dans mes priorités actuellement, je vais donc regarder sir Pfsense pourrait me gérer ça.
Nusa
Tout d'abord merci beaucoup pour c'est réponse.
JDH : Effectivement, je viens de remplir le document de SFR pour un autre client afin de justifier de l'utilisation des IP publics. Pour le cas exposé, je n'ai rien demandé, cela fait parti des "packages" que seul Orange sait encore faire : Une SDSL, de la VOIP, un pack de 10 IP publique et tout plein chose que l'on pas obligatoirement besoin mais cela fait parti du "panier cadeau"..... Nous avons d'un coté SFR qui nous fait remplir un dossier complet pour une IP publique et Orange qui les distribue par paquet de 10 ..... chercher l'erreur
Pour revenir au dossier : cela tombe peut être bien qu'IPCOP arrive en limite de fonctionnalité avec ce point car je doit le changer et je me demdais IPCOP ou Pfsense.......
CCNET : Merci pour vos réponses, je vois que vous êtes aussi récatif sur IPCOP que sur Pfsense... vous arrivez à trouvez du temps pour vivre entre ses 2 forums?
Je ne suis pas très chaud pour le reverse proxy, intellectuellement sûrement intéressant mais ce n'est hélàs pas dans mes priorités actuellement, je vais donc regarder sir Pfsense pourrait me gérer ça.
Nusa
- nusa
- Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 30 Mars 2005 15:10
- Localisation: Entre la pomme, les fenetres et les pingouins...
par jdh » 23 Mars 2009 14:26
(Sur le lien indiqué, j'ai fait la même réponse ... et je ne suis pas plus en colère !)
D'un côté, on nous dit qu'il y a pénurie d'adresses ip (v4), et de l'autre on fait des offres avec de multiples ip inclues ! C'est assez stupide (et je ne suis pas surpris).
Il est clair que ccnet ou moi sommes depuis un certain temps assez partisan de pfSense.
Outre un ensemble de fonctionnalités assez grand (et de base), pfSense a un avantage : ce n'est pas du Linux mais du (Free)Bsd, donc pas de netfilter/iptables mais du pf. Cela limite les bricolages ("en ligne 40 on rajoute SNAT" ...).
C'est donc plutôt du temps de gagné d'essayer pfSense. (D'autant qu'il sait parfaitement faire du "1-1 nat" qui est nécessaire pour faire le point 2.) (Même si on peut très bien faire beaucoup de choses avec 1 SEULE ip.)
D'un côté, on nous dit qu'il y a pénurie d'adresses ip (v4), et de l'autre on fait des offres avec de multiples ip inclues ! C'est assez stupide (et je ne suis pas surpris).
Il est clair que ccnet ou moi sommes depuis un certain temps assez partisan de pfSense.
Outre un ensemble de fonctionnalités assez grand (et de base), pfSense a un avantage : ce n'est pas du Linux mais du (Free)Bsd, donc pas de netfilter/iptables mais du pf. Cela limite les bricolages ("en ligne 40 on rajoute SNAT" ...).
C'est donc plutôt du temps de gagné d'essayer pfSense. (D'autant qu'il sait parfaitement faire du "1-1 nat" qui est nécessaire pour faire le point 2.) (Même si on peut très bien faire beaucoup de choses avec 1 SEULE ip.)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par nusa » 23 Mars 2009 15:18
Bon je reviens un peu bête....
J'ai regardé derrière la LibeBoxPro de Orange, il y a un switch, j'y ai connecté un PFsense à côté de mon Ipcop. Attribution manuelle d'une adresse IP de ma plage de 10 IP WAN dispo et hot ça roule....
J'ai donc maintenant un IPCOP et un pfsense en parallèle. Je vais en profiter pour migrer tranquillement vers Pfsense.
Merci encore pour vos réponses.
Nusa
J'ai regardé derrière la LibeBoxPro de Orange, il y a un switch, j'y ai connecté un PFsense à côté de mon Ipcop. Attribution manuelle d'une adresse IP de ma plage de 10 IP WAN dispo et hot ça roule....
J'ai donc maintenant un IPCOP et un pfsense en parallèle. Je vais en profiter pour migrer tranquillement vers Pfsense.
Merci encore pour vos réponses.
Nusa
- nusa
- Lieutenant de vaisseau
- Messages: 184
- Inscrit le: 30 Mars 2005 15:10
- Localisation: Entre la pomme, les fenetres et les pingouins...
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité