Firewall transparent

[antarex]

Bonjour à tous. <BR> <BR>J'ai un accès internet par câble avec une classe de 16 IP publiques, dont l'IP de la passerelle est attribuée au routeur du FAI... cela pour dire que je n'ai pas le contrôle sur ce routeur. <BR> <BR>J'aimerais protéger les machines du réseau par un firewall transparent placé entre les machines et l'accès câble. J'entends par un firewall transparent un système qui me permette de garder les IP publiques sur les PC tout en me permettant de filtrer certains ports au niveau du firewall... je n'ai pas envie de passer par du NAT, et le fait que le routeur soit situé côté FAI m'empèche de configurer le firewall comme passerelle... <BR> <BR>Malgré tout, j'aimerais que le firewall m'offre une possibilité de VPN pour me permettre depuis une station distante d'obtenir une des IP publiques de mon réseau et accéder en direct à toutes les machines du réseau... <BR> <BR>Pensez-vous que IPCop pourrait répondre à ce besoin particulier ? Une réponse simple pourrait me permettre d'éviter de nombreuses heures de test <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Merci à tous <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>_________________ <BR>Bien à vous <BR> <BR>Stephane<BR><BR><font size=-2></font>

[Fesch]

Ups, à mon avis cela n'est pas possible sans faire du NAT 1:1. <BR> <BR>Déjà pour router d'un réseau X vers le même réseau X n'est pas possible. Il faudrait donc que tu fasses du subnetting pour que ce soit routable, dans ce cas-là tu perdra quand-même quelques de tes addresses publiques <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Quoique. Si tu mets IpCop entre le router et ton réseau, et que tu lui colle deux interfaces. Du genre <BR> <BR>Router(x.x.x.1) <---> (x.x.x.2=RED)IpCop(x.x.x.3=GREEN) <----> Lan (x.x.x.4-15) <BR> <BR>Il faudrait que tous tes clients du Lan aient comme default gateway x.x.x.3. En plus il faudrait que IpCop aient une règle qui dise que tout traffic parvenent des adresses x.x.x.4-15 soit routé via l'interface RED vers x.x.x.1 et que tout traffic provenent de x.x.x.1 vers une des adresses x.x.x.4-15 soit routé via l'interface GREEN. <BR> <BR><!-- BBCode Start --><I>Je ne suis pas un spécialiste dans cette matière ...</I><!-- BBCode End -->!!! C'est juste une <!-- BBCode Start --><B>idée</B><!-- BBCode End -->...

[antarex]

Un watchguard est capable de le faire, en mode de fonctionnement "bridge" placé entre le gateway et les stations, il laisse passer (ou non) le trafic d'un port à l'autre en fonction de règles, mais sans pour autant être visible dans le routage IP. mais là justement, je cherche à voir s'il existe des solutions similaires par software...

[tomtom]

Je pense que censornet peut faire ça.. IPCop oublie, c'est trop le bordel de tout modifier pour le faire... <BR> <BR>T.

[gla]

Et pourquoi ne pas mettre tes adresses publiques en DMZ et demander un adressage réseau privé en 192.168.x.x entre ton FW et la routeur de ton provider ?

[antarex]

Je n'ai aucun contrôle sur le routeur de mon ISP, je ne peux donc pas décider d'utiliser une classe privée entre ce routeur et mon firewall...

[tomtom]

Si tu veux absolument garder les ip publiques sur les serveurs, tu n'as que deux solutions : <BR>1- Tu donnes une addresse publique à chaque interface du firewall, et tu places judicieusement les masques de sous-réseau sur tes interfaces... Ensuite, tu configures proprement tes tables de routage, puis les règles de firewall... Evidemment, tu peux laisser de coté ipcop, qui fait par defaut du masquerading, et qui n'est pas très simple à configurer à la main... <BR>Tu perds 2 ip publiques avec ce systeme <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>2- Tu places un "bridge" transparent entre le réseau de ton provider et ton lan. On parle de "pont filtrant" en français. Je crois que censornet est capable de faire ce genre de choses, mais je ne l'ai jamais testée. Sinon, il faut partir d'une distro standard, eventuellement la recompiler pour utiliser le module bridge (cherche dans les forums, il y en a deja qui ont fait ça...), puis positionner les règles d efirewalling. C'est faisable, mais evidemment ça demande unpeu de boulot... <BR> <BR> t.

[tomtom]

Tiens, j'ai retrouvé le post : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=3501&forum=2&start=0" target="_blank">http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=3501&forum=2&start=0</a><!-- BBCode auto-link end --> <BR> <BR>t.

[antarex]

Donc si je comprends bien, du vrai firewall transparent n'est faisable que à la main et sans aucune interface... dommage, mais merci de l'info <BR> <BR>J'ai jeté un oeil sur Censornet, cela semble beaucoup plus tourné vers les limitations utilisateurs et web... mais ça m'amène une question : IPCop permet-il une identification basée sur un domaine Windows 2000 ?

[tomtom]

Non, IPCop ne permet pas ça par defaut je pense, bien qu'avec squid il doive y avoir quelquespossibilités. <BR> <BR> <BR>Par contre, effectivement censornet est avant tout un proxy, amsi je pesne qu'il intègre aussi netfilter, et donc peut très bien faire firewall ! <BR>A mon avis, c'est le moyen le plus accessible pour faire ce que tu veux ! On peut le mettre en mode bridge et le rendre complètement transparent... <BR> <BR>Mais inon, désolé, je ne connais pas d'autre distrib spécialisée fonctionnant en mode bridge, ce qui est un peu domage d'ailleurs... <BR> <BR>t.

[tintin142]

Shorewall sait faire cela tu as toutes les infos sur le site :

http://www.shorewall.net/bridge.html

A+

[lumachan]

Regardes de ce coté là :

http://www.m0n0.ch/wall/

Firewall transparent ou nat 1:1
C'est basé sur FreeBSD avec une jolie interface web.

Tu peux faire ça sans problème