2 plages d'adresses dans le réseau RED

par **Elfeclair** » 02 Sep 2003 18:17

Bonjour, Nous avons 2 plages d'adresses IP fixes. 1 de 8 adresses (217.x.x.32 masque : 255.255.255.248) sur laquelle est installé IPCop et une nouvelle de 16 adresses (81.x.x.80 masque 255.255.255.240). Nous avons augmenté le nombre de nos serveurs en DMZ (ce qui a nécessité la demande et l'obtention de la seconde plage). La 1ere plage d'adresse fonctionne très bien sous IPCop : définition des alias, ouverture des ports, transfert des ports. Les serveurs sur ma DMZ sont bien accessibles. Par contre les serveurs censés être accessibles avec une adresse de ma seconde plage d'adresses ne le sont pas. Un traceroute va jusqu'au FW IPCop, mais c'est tout. Pas de réponse du serveur. Un piste est que IPCop semble donner le même netmask (255.255.255.248) et le même broadcast (217.xxx.xxx.39) à tout ses alias alors qu'il devrait être différent dans le cas de sous réseaux différents (255.255.255.240 et 81.X.X.95). Mais je n'ai pas trouvé où changer le netmask ou le broadcast. Ni dans l'interface ni dans les fichiers. Qu'en pensez-vous ? Est-ce une impossibilité de IPCop ? Comment le changer manuellement ? Le problème est-il ailleurs ? Merci. ifconfig -a me donne : eth2 Link encap:Ethernet HWaddr 00:E0:18:A7:23:D7 inet addr:217.xxx.xxx.37 Bcast:217.xxx.xxx.39 Mask:255.255.255.248 UP BROADCAST RUNNING MTU:1500 Metric:1 RX packets:29272 errors:0 dropped:0 overruns:0 frame:0 TX packets:24782 errors:0 dropped:0 overruns:0 carrier:0 collisions:33 txqueuelen:100 RX bytes:18465924 (17.6 Mb) TX bytes:4057947 (3.8 Mb) Interrupt:10 Base address:0x4000 eth2:0 Link encap:Ethernet HWaddr 00:E0:18:A7:23:D7 inet addr:217.xxx7.xxx.34 Bcast:217.xxx.xxx.39 Mask:255.255.255.248 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:10 Base address:0x4000 eth2:1 Link encap:Ethernet HWaddr 00:E0:18:A7:23:D7 inet addr:217.xxx.xxx.35 Bcast:217.xxx.xxx.39 Mask:255.255.255.248 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:10 Base address:0x4000 eth2:2 Link encap:Ethernet HWaddr 00:E0:18:A7:23:D7 inet addr:217.xxx.xxx.36 Bcast:217.xxx.xxx.39 Mask:255.255.255.248 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:10 Base address:0x4000 eth2:3 Link encap:Ethernet HWaddr 00:E0:18:A7:23:D7 inet addr:81.xxx.xxx.81 Bcast:217.xxx.xxx.39 Mask:255.255.255.248 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:10 Base address:0x4000 eth2:4 Link encap:Ethernet HWaddr 00:E0:18:A7:23:D7 inet addr:217.xxx.xxx.33 Bcast:217.xxx.xxx.39 Mask:255.255.255.248 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:10 Base address:0x4000 eth2:5 Link encap:Ethernet HWaddr 00:E0:18:A7:23:D7 inet addr:81.xxx.xxx.82 Bcast:217.xxx.xxx.39 Mask:255.255.255.248 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:10 Base address:0x4000

par **Gesp** » 02 Sep 2003 20:20

Du fait que l'interface est sous l'autorité de nobody:nobody et que certains programmes nécessitent pour fonctionner d'être root, certaines actions de l'interface sont secondés par un petit prog qui appelle par exemple iptables avec les paramêtres qui vont bien. Dans ton cas, le prog à modifier doit être ipcop/src/misc-progs/setaliases.c il faut un gcc 2.9x pour compiler il y a un buildling how-to là <a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopBuildingv01" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopBuildingv01</a>

par **tomtom** » 02 Sep 2003 20:38

Je ne te donnerai pas de reponse, mais je te pose 2 nouvelles questions : 1- Je n'ai jamais nstallé IPCop, mais dans la doc je vois que l'on peut ajouter des alias externes, mais il n'y a aucun emplacement pour entrer le masque de ss-reseau, comment a-t-il su que c'etait un /29 ??? Tu lui a rentré à la mian ? ou alors a-t-il utilisé le masque de ton ip principale (celle de l'install) ? 2- Est-ce qu'il ny aurait pas une limite imosée par IPCop du nombre de sous-interfaces, vu que tu sembles n'en avoir que 6.... Une remarque au passage : Quand on arrive à ce niveau de cout et de complexité d'install, je ne suis pas sur que IPCop soit l'outil ideal.... Il faut peut-etre penser à des firewalls professionel, et au moins avoir la main sur l'integralité de la conf (ne pas se reposer sur un GUI limitateur quand on connait les possibilités de netfilter ! ) T.

par **Elfeclair** » 03 Sep 2003 09:54

Bonjour, Effectivement, on ne peut pas indiquer le masque de sous réseau lors de la définition des alias. IPCop doit simplifier en pensant que les alias sont dans la même plage d'adresses que l'adresse réelle de l'interface. Je n'ai que 6 alias car je n'en ai créé que 6. Comme les alias de ma nouvelle plage d'adresse ne fonctionnent pas, je n'ai pas installé les suivants. Je ne pense pas qu'il y ait une limitation dure, si j'en mais 10 000 ça ne marchera surement pas, mais je n'en suis pas là :=) Et pour la complexité d'install, et de coût et même de stabilité je pense que IPCop est bien meilleur que tout ce que j'ai vu jusqu'alors (iptables, ipchains, Checkpoint Firewall-1). Le problème d'IPCop est ses limitaions actuelles : pas de VPN RoadWarrior sans bidouillages, impossibilité de définir plusieurs plages d'adresses sur le réseau RED (peut-être), et d'autres que je n'ai pas rencontrés. Mais tous ces problèmes vont être résolus au fur et à mesure de l'avancement du developpement !!!

par **Gesp** » 03 Sep 2003 10:00

Je crois que le VPN RoadWarrior devrait être en CVS d'ici quelques jours. Pour ton problème de plages multiples, si tu es capable de modifier le fichier C que j'ai indiqué, je dois pouvoir rajouter une seconde plage dans l'interface web pour la saisie.

par **Elfeclair** » 18 Sep 2003 14:36

Bon, En fait le problème venait de mon FAI. Il a mis les bons paramétres sur son routeur et maintenant ça roule ... N'empeche que c'est quand même bizarre ces masque de sous réseau pas conformes ... Merci de votre aide quand même :=))

2 plages d'adresses dans le réseau RED

Qui est en ligne ?