Configuration réseau d'un firewall

par **targa** » 02 Sep 2003 15:49

Mesdames et Messieurs bonjour, La configuration suivante pour un firewall est elle correcte ? IP LAN : 10.0.0.1 IP DMZ : 10.0.0.21 NET LAN : 10.0.1.0/24 NET DMZ : 10.0.0.0/24 Les utilisateurs sont sur un réseau 10.0.1.0/24 et donne comme passerelle 10.0.0.1 Mes serveurs sur 10.0.0.0/24 Je ne suis pas sur que ce soit valide. Qu'en pensez vous.

par **jamel_partou** » 02 Sep 2003 21:24

Salut, j'ai vu de la lumiere, .... Pour moi, il y a 2 rezo : 10.0.0.0 et 10.0.1.0 Sinon bien declarer le masque de sous rezo en 255.255.255.0 pour les deux ! je les mettrais sur le meme rezo si j etais toi, c bien assez compliquer comme ca !

par **tomtom** » 02 Sep 2003 23:01

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-02 21:24, jamel_partou a écrit: Salut, j'ai vu de la lumiere, .... Pour moi, il y a 2 rezo : 10.0.0.0 et 10.0.1.0 Sinon bien declarer le masque de sous rezo en 255.255.255.0 pour les deux ! je les mettrais sur le meme rezo si j etais toi, c bien assez compliquer comme ca ! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ben, heu, tu as deja vu un reseau ?? Parceque c'est pile le contraire, il faut absolument avoir deux reseaux différent <IMG SRC="images/smiles/icon_rolleyes.gif">

par **jamel_partou** » 03 Sep 2003 00:36

Je veux bien admetre !! Moi je voyais son rezo local avec ses adresses 10.0.x.x ! mais si il y a 2 rezo en local, où mettre le firewall ? entre les deux rezo locaux, ou pour acceder au monde exterieur ? Je sèche ou j'ai compris de la config ! Je sens que je vais anecore m'en ramasser !!

par **tomtom** » 03 Sep 2003 09:21

Son firewall a 3 interfaces sur 3 reseaux differents.. Le "RED" est relié à Internet Le "Orange" correspond à la DMZ et un reseau ip Le "GREEN" correspond au reseau local, la plus protégé puisqu'aucun acces d'internet ne doit se faire vers lui ! Un autre reseau IOP... Voilu T.

par **gla** » 03 Sep 2003 09:35

Pas de problème ça marche déja pas ! ******************************** La configuration suivante pour un firewall est elle correcte ? IP LAN : 10.0.0.1 IP DMZ : 10.0.0.21 NET LAN : 10.0.1.0/24 NET DMZ : 10.0.0.0/24 Les utilisateurs sont sur un réseau 10.0.1.0/24 et donne comme passerelle 10.0.0.1 Mes serveurs sur 10.0.0.0/24 ******************************** L'adresse du LAN et de la DMZ ne doivent pas être sur le même réseau ! puisque tu as LAN et DMZ en /24 tu as donc deux réseaux IP de classes C. Cela veut dire que seul le dernier octet correspond à la machine. Donc les trois premiers octets correspondent au réseau. Cela implique que 10.0.0.0/24 et 10.0.1.0/24 sont deux réseaux distincts. Or on peut voir sur ta config en haut que l'adresse de ta carte DMZ est sur le LAN et que les stations ont comme passerelle l'@ IP de la DMZ... donc il y a maldone. Voici une config plus clean ! RED (IP PUBLIQUE) | | | FW ---DMZ---10.0.1.21 (10.0.1.0/24) | | LAN 10.0.0.1 | | (10.0.0.0/24) @ IP de la gateway = 10.0.0.1 Et là c'est OK !

par **bobyII** » 03 Sep 2003 10:07

C'est clair que ca ne sert a rien d'utiliser une DMZ si tu les mets dans le meme réseau. Sinon, targa, suis les conseils de gla.

par **TekniK** » 10 Sep 2003 14:52

Salut tous le monde, <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-03 09:35, gla a écrit: *************************** ................ L'adresse du LAN et de la DMZ ne doivent pas être sur le même réseau ! puisque tu as LAN et DMZ en /24 tu as donc deux réseaux IP de classes C. Cela veut dire que seul le dernier octet correspond à la machine. Donc les trois premiers octets correspondent au réseau. Cela implique que 10.0.0.0/24 et 10.0.1.0/24 sont deux réseaux distincts. Or on peut voir sur ta config en haut que l'adresse de ta carte DMZ est sur le LAN et que les stations ont comme passerelle l'@ IP de la DMZ... donc il y a maldone. ....................... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> juste un petite rectification , l'adresse 10.0.0.0 est celle d'un rezo de classe A et non pas de C ce n'est pas le masque s/rezo qui définit l'appartennace à une classe. le masque s/rezo par défaut des rezo de classe A est 255.0.0.0 mais celle utilisé dans l'exemple est modifié , on a emprunté 6 bits ce qui fais 24 bits pour le masque s/rezo et non pas 8 bits @+

par **bobyII** » 10 Sep 2003 16:23

il me semble que la notion de classe est importante pour les adresses publiques (internet)... sinon, en local, tu peux faire ce que tu veux.

par **TekniK** » 14 Sep 2003 17:43

salut, <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-10 16:23, bobyII a écrit: il me semble que la notion de classe est importante pour les adresses publiques (internet)... sinon, en local, tu peux faire ce que tu veux. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> à mon humble avis,la notion de classe est une partie intégrante de l'adressage IP, on peut pas parler d'adressage IP sans parler de classe <IMG SRC="images/smiles/icon_wink.gif"> par convention, on ne peut utilser au sein d'un réseau local que les adresse dites privées ( adresses IP réservées ou adresses non routées). ces adresses appartienent à une plage d'adresses dans chaque classe : classe A : 10.0.0.1 à 10.255.255.254 : 255.0.0.0 classe B : 172.16.0.1 à 172.31.255.254 : 255.255.0.0 classe C : 192.168.0.1 à 192.168.255.254 : 255.255.255.0 je crois qu'il est possible d'affecter n'importe ql adresse à son interface reso ou série mais en le faisant on respcte pas les conventions. perso je n'ai jamais essayer de le faire. @+

par **TekniK** » 14 Sep 2003 17:54

resalut à tous voic la RC qui spécifique au adresess provées <A HREF="http://www.eisti.fr/res/res/rfc1918/1918.htm" TARGET="_blank">RFC1918 en français</A> bonne lecture à tous <IMG SRC="images/smiles/icon_wink.gif"> @+

par **tomtom** » 14 Sep 2003 19:53

C'est clair qu'il faut utiliser les ranges privés dans des reseaux privés, en tous cas si on les connecte à Internet. En revanche, on peut faire ce qu'on veut avec les masques de sous-reseaux là-dedans... Il est parfaitement legal de declarer un reseau 10.0.0.0/24 si on en a envie. Les classes ne sont absolument plus utilisées pour le routage depuis que les protocoles de routage sur internet supportent le transfert des masques avec les routes. L'algorithme de routage (utilisé par tous les noeuds ip) se base sur le masque utilise le longest-match, ce qui fait quela classe d'adresse ne sert pour ainsi dire plus à rien.... Seuls certains protocoles tres anciens ne supportent pas le transfert des masques et peuvent donc poser des problèmes d'agregation de routes, mais dans le cas present aucun soucis ! A titre personnel, j'utilise pour mon lan 172.16. 2.0 /24 (ceci me permet de connecter des vpns et de faire des bricoles avec). Le tout est de ne jamais perdre de vue que en fonction du masque utilisé, il faut que les trois interfaces du firewall soient dans des reseaux IP différents. ex : si on utilise un masque /24 (255.255.255.0) alors il faut modifier obligatoirement le 3eme chiffre de l'ip.. interface 1 : 10.0.0.1 intefrace 2 : 10.0.1.1 interface 3 : 10.0.3.1 C'est pour toutes ces raisons que je demande toujours pour ce genre de requetes de specifier les masques reseaux, sans lesquels une ip n'a aucune signification ! t.

par **feeble_mind** » 14 Sep 2003 20:37

Oui, il manquait des ip sur internet, c'est pourquoi les classes ont été abandonnées au profit des addresses de type CIDR. Qui , comme remarqué plus haut, necessite que les routeurs sachent transporter les masques au lieux des classes. Ne parlez plus en tant qu'admin réseau de "classes" c'est vraiment obsolete.

Configuration réseau d'un firewall

Qui est en ligne ?