Configuration DMZ

par **Halden** » 24 Juin 2003 13:55

Bonjour, Pou commencer, voici la configuration de ma machine IPCop: - GREEN: inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 - ORANGE: inet addr:194.69.209.54 Bcast:194.69.209.255 Mask:255.255.255.0 - RED: inet addr:194.69.220.185 Bcast:194.69.220.191 Mask:255.255.255.248 Depuis quelques jours maintenant j'essai de mettre un serveur sur une des IPs de mon DMZ mais ceci sans succes. J'ai verifier avec un tracert et toutes les addresses (officielles) de ma DMZ sont routee avec mon IPCop, mais il semble que IPCop ne transmette pas a la DMZ. J'ai essaye d'ouvrir les ports (external forwarding access) et de les forwarder (port forwarding) mais il semble que je ne puise pas acceder au server qui sont sur le DMZ a partir de leur addresse officielles. Par contre si j'utilise l'adresse RED de IpCop a partir de l'exterieur la requette est bien transmise a la machine defini dans "Port forwarding", ce qui veut dire qu'une seule addresse RED semble etre vue de l'exterieur. Dans la documentation que j'ai pu trouve il semble que la DMZ utilise des IP prives (192.168.x.x) et ne soit accessible qu'au travers de "port forwarding". Quelqu'un pourrait il m'expliquer comment utiliser des IPs officiels dans la DMZ et comment les rendre accessible a partir de l'exterieur. Un article que j'ai trouve parle de modifier la table de routage ..... Existe-t-il une solution plus simple ? Merci pour votre aide.

par **tomtom** » 24 Juin 2003 16:29

Je pige pas bien ce que tu fais. Je suppose que tu possèdes la plage publique 194.69.220.184/29 Par contre, la plage d'adresse que tu mets en orange appartient à ta boite aussi ? Pour obtenir ce que tu souhaites, tu as 2 solutions : 1- Tu utilises les alias externes pour ajouter toutes les ip que tu possèdes sur l'interface roure et tu fais un masquage statique pour les ip de la dmz. 2- Tu utilises l'ensemble de ta classe publique pour donner des adresses à tous les serveurs de la DMZ, ainsi qu'à l'interface orange et à l'interfcae red. Dans ce cas là il va effectivement falloir faire les tables d eroutages à la main. En fait, si tu veux laisser les adresses publiques dans la DMZ, je pense que l'utilisation de IPCop n'est pas un choix des plus judicieux. En effet, IPCop est prevu pour faire du masquerading sur son interface de sortie, et la modifier pour le static nat n'est pas très simple et lui fait perdre son interet. Tu peux te tourner vers des distribs comme Debian (tu devras tout configurer à la main) ou encore des firewalls tout prets (Leaf , freesco, gibraltar) qui te permettent des configs plus pointues que IPCop... Dans tous les cas tu devras mettre les mains dans le cambouis.... Ce n'est pas très compliqué à faire, il suffit de bien determiner ce que tu souhaites.... T.

par **Halden** » 24 Juin 2003 16:39

Merci pour ton message tomtom. La premiere solution est en effet la plus simple. Je viens de la mettre en place et tout marche parfaitement. J'ai mis chacune de mes IP dans la liste des "external aliases" et j'ai utiliser 192.168.2.1 / 255.255.255.0 pour ma DMZ. En utilisant les "port forwarding" j'obtiens ce que je cherchais. Mon probleme c'est que j'ai l'habitude de bosser avec des firewall sonicwall et lorsqu'ils demandent les adresses de la DMZ il faut mettre les adresses officielles. Maintenant j'ai compris le principe IpCop, c'est tres simple, je ne devrais plus avoir de problemes.

par **tomtom** » 24 Juin 2003 16:49

En fait je pense qu'il serait bien plus adequat de mettre les ip publiques en DMZ. D'abord parcque le firewall ne fait ainsi qu'un filtrage simple, pas de NAT, ce qui diminue son temps de latence (ca peut etre assez important comme différence, suivant la config). Ensuite, parce qu'il peut etre preferable de ne pas faire de nat pour certaines applications. Enfin, parceque je ne connais pas le comportement de IPCop pour le masquerading sur plusieurs adresses publiques. Supposons qu'un serveur veuille acceder au net... va-t-il utiliser une ip qui lui est reéservée (j'en doute fort) ou va-t-il en prendre une au hasard, ou encore va-t-il prendre l'ip principale ???? Et dans ce cas là, pour la reponse, l'IP principale va avoir acces Idem pour les clients sur le green..... En fait, j'ai bien peur qui IPCop ne fasse pas d eNAT statique, ce qui fait qu'un serveur n'aura pas toujours la même ip publique (tout du moins quand c'est lui qui initie les connexions...). Evidemment, la mise en place d'une DMZ en IP publiques demande la modofication des tables d eroutage et la création de règles spécifiques iptables. Je pense ceci dit que le jeu en vaut la chandelle (surtout quand on a les moyens de se payer un/29 public <IMG SRC="images/smiles/icon_wink.gif"> ) T.

par **antolien** » 24 Juin 2003 19:42

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-24 16:49, tomtom a écrit: Ensuite, parce qu'il peut etre preferable de ne pas faire de nat pour certaines applications. Enfin, parceque je ne connais pas le comportement de IPCop pour le masquerading sur plusieurs adresses publiques. Supposons qu'un serveur veuille acceder au net... va-t-il utiliser une ip qui lui est reéservée (j'en doute fort) ou va-t-il en prendre une au hasard, ou encore va-t-il prendre l'ip principale ???? Et dans ce cas là, pour la reponse, l'IP principale va avoir acces </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> C'est une question que je me pose depuis longtemps, quelqu'un me prete une plage ip ? c'est dommage j'ai expliqué il y a qq temps dans un post, comment faire pour ajouter des ip (même une copie d'ecran) et je n'ai eu aucun retour <IMG SRC="images/smiles/icon_bawling.gif"> si quelqu'un pouvait confirmer que le serveur sort avec l'ip principale (ce qui aparraît dans la config) ce serait génial !

par **Halden** » 24 Juin 2003 23:12

Bonsoir, Desole pour ma reponse tardive. Je serais tres interesse pour mettre les IPs publiques dans le DMZ si quelqu'un peut me donner un coup de main. Ce sera la premiere fois (il y en a toujours une) que je vais modifier les tables de routage et je ne sais meme pas par ou commencer. Si vous avez un lien vers un "HowTo" ou un tutorial je suis preneur. Pour information mon /29 public est gratuit (offert par mon ISP pour m'aider a debuter mon business .... ) antolien, est ce que tu as le titre du post ou tu as les explications avec la copie d'ecran ?? Je peux donfirmer ce que vous voulez a condition de m'inquer les manipulations a faire. Je peux meme eventuellement vous laisser bidouiller mon IpCop a condition de ne pas faire trop de $%#&! <IMG SRC="images/smiles/icon_wink.gif"> Merci pour vos reponses, tout semble marcher pour le mieux maintenant. Chris++

Configuration DMZ

Qui est en ligne ?