Routage avec ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Routage avec ipcop

Messagepar allla » 18 Mai 2010 11:13

(Réseau local )Routeur1 ---------------Eth0 ----IPCOP Eth1 -----SWITCH-----Routeur 2 -------Internet
...............................................................................................|
...............................................................................................|
...............................................................................................|
...........................................................................................Modem
.....................................................................................Internet SDSL


l'interface eth0 est la route par défaut de Routeur 1

le Routeur 1 réalise du NAT selon la population il y a des utilisateurs qui vont sortir vers internet à travers le routeur 2 et des utilisateurs qui vont sortir à travers l'SDSL
ce que je veux c'est selon l'adresse du NAT arrivant sur Eth0(nat1 pour les utilisateurs vers internet à travers Routeur 2 et nat2 pour les utilisateurs vers internet à travers SDSL)

quelqu'un à une idée sur le façon de router selon nat source[/u]
allla
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 23 Fév 2010 17:08

Messagepar jdh » 18 Mai 2010 11:27

Que c'est compliqué !!!

Nicolas Boileau : "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."



Je ne pense pas qu'Ipcop soit la machine adaptée !
=> Elle ne sait bien gérer qu'un réseau Green (et non 2)
=> Elle ne sait pas gérer 2 réseau Red

Bref, comme on dit, à démonter et à repeindre ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 18 Mai 2010 11:38

Ipcop ne sait pas faire. Pfsense sous réserve que l'on comprenne bien ce que vous souhaitez.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar allla » 18 Mai 2010 15:37

comment le faire avec pfsense ??
en faite j'ai une population VIP ( a peu près 10 machines) je souhaite les faire sortir à Internet à travers une connexion dédie seulement à eux SDSL
le reste des utilisateurs vont partager la connexion internet à travers le routeur 2
en même temps je souhaite mettre un solution de sécurité contrôlant ces deux connexion
actuellement j'ai un routeur qui selon l'@ ip source je natte X.X.X.10 qui vont passer par le routeur 2 et en X.X.X.14 pour les VIP qui vont passer par le modem SDSL
j'ai pensé à IPCOP pour réaliser cette solution !!!!

y a t il des suggestions ????
allla
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 23 Fév 2010 17:08

Messagepar jdh » 18 Mai 2010 15:54

Pas de spécifications techniques avant la description des besoins ! (Comme l'écrit souvent ccnet).

Besoins :
- 2 populations (VIP et autre)
- les VIP ont besoin d'un accès à Internet spécifique (en quoi ?)
- les autres ont besoin d'un accès Internet "autre" (de quel type)
- quel type de contrôle est nécessaire ?


NB : les 2 lignes sont existantes ? Donc les routeurs existent ?


NB2 : Pourquoi il faut commencer par les besoins ? Ipcop est loin d'avoir 2 Green et 2 Red : preuve s'il en ait que la technique, ici non adaptée, doit suivre le besoin (et non l'inverse) !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar allla » 18 Mai 2010 16:14

1- 2 populations (VIP et autre)
2- les VIP ont besoin d'accès à Internet à travers SDSL pour garantir l'accès et éviter toute type d'encombrement sur la ligne vu que le nombre des autres utilisateurs dépasse les centaines c'est pour cela qu'on les à séparer sur une ligne indépendant
3- les autres partage une même ligne LS
4- les types de contrôle c'est l'interdiction des accès à certaines sites, protection des virus, interdiction des accès externes, interdiction pour certains protocoles (ftp), interdiction de streaming vidéos, radio ...
allla
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 23 Fév 2010 17:08

Messagepar jdh » 18 Mai 2010 16:41

A supposer qu'il ne s'agit que d'accès à Internet via les protocoles http, https, ftp (non décrit !)

La nature des contrôles tend (très nettement) à considérer que des proxy Squid sont absolument nécessaires.

Je verrais donc 2 proxy en jeu :
- chaque proxy disposerait de Squid + SquidGuard + Havp + Clamav,
- chaque proxy disposerait d'une carte réseau sur le LAN et d'une carte vers un routeur vers Internet.

Selon la config de l'un ou l'autre des proxy, les VIP ou les autres seraient acceptés et bénéficieraient de la ligne Internet raccordée au proxy.

Et là aucun NAT en jeu : simple, simple simple ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar allla » 18 Mai 2010 16:56

dans ce cas de figure de combien de carte réseau aurais je besoins ????
dans IPCOP quelle est type de configuration choisir (vert +rouge + orange , .....) ??
allla
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 23 Fév 2010 17:08

Messagepar ccnet » 18 Mai 2010 20:44

Le nombre de cartes n'est pas vraiment la principale question à ce stade. Ce serait plutôt un détail de mise en œuvre. La mise à plat des besoins, des options possibles serait une bonne chose. Si il est assez évident qu'un proxy au moins sera nécessaire tout cela n'est pas sans conséquence sur l'architecture réseau. La prise en charge de deux connexion Wan n'est pas nécessairement une question triviale.
Je vois asse mal in ipcop s'intégrer dans cette problématique.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Franck78 » 19 Mai 2010 21:25

ccnet a écrit:Je vois assez mal in ipcop s'intégrer dans cette problématique.

Sauf comme le dit si simplement jdh, à installer deux IPCop sur le LAN, chacun gérant son lien internet. Pourquoi faire plus compliqué.....
Pour le commun des mortels, c'est par ici, le reste vip par ce proxy. Et ca n'empèche aucunement toute sorte de partage des ressources locales.

Et en utilisant BLUE sur l'IPCopVIP on peu même profiter d'un filtrage par mac supplémentaire contre les tricheurs ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron