Routage IP sans NAT

[antarex]

Je cherche toujours une solution de firewall pour un besoin assez précis... <BR> <BR>Le but étant de protéger des serveurs se trouvant sur un /26 public... mais en assignant bien les IP publiques aux serveurs... j'ai regardé les solutions dont on parlait ici de SNAT, mais cela reste du NAT, je n'aime pas bcp... <BR> <BR>Ma question est donc de savoir si il est possible d'utiliser IPCop comme firewall mais en mode de routage simple, sans aucune translation d'adresse ? Mon provider peut à présent me fournir une adresse de routage séparée pour mon interface rouge. <BR> <BR>Donc mon but, est d'avoir <BR> <BR> 1.2.3.4/30 (IP de routage publique) <BR> Interface rouge <BR> | <BR> Firewall (IPCop) <BR> | <BR> Interface DMZ <BR> 2.3.4.5/26 (IP publique interne) <BR> | <BR> 2.3.4.n/26 (mes serveurs) <BR> <BR> <BR>Et pouvoir au niveau du firewall (IPCop ?) configurer les règles des ports entrants autorisés (je veux limiter l'accès au seul port 80 sur tel serveur par exemple). <BR> <BR>Est-ce possible en natif avec IPCop sans utiliser aucune translation NAT, SNAT ou autre ? Si ce ne l'est pas, quelle autre ditri FW me conseilleriez-vous ? MNF ? J'ai aussi jeté un oeil à MNF qui me semble beaucoup plus gros, mais justement, bcp plus de packs signifie aussi plus de trous potentiels... <BR>

[carbone]

Alors la, je ne comprends pas bien ta question, mais tu auras d'office besoin d'un routage soit NAT, soit PAT. <BR>Par défaut, ipcop tourne en suivant le PAT (il se base sur le port pour transferer) et le réseau que tu présente me semble standard si ce n'est que je vois pas le green.

[arapaho]

Activer le forward entre l'eth DMZ et l'ETH du net sans faire de NAT, <BR>Mettre à jour ta table de routage sur ipcop; les paquets ayant pour destination ton /26 se tournerons automatiquement vers la DMZ. <BR>Sur les machines de la DMZ, bien indiquer l'eth DMZ d'IPCOP comme gateway

[arapaho]

Non tu n'est pas obligé de faire du NAT ou du PAT ... <BR> <BR>Il faut que ta machine agisse comme un routeur filtrant tout simplement. <BR>Et attention aux regles installées par défaut dans ipcop lors de la mise en place de l'interface DMZ

[tomtom]

Il me semble que je l'ai deja dit, mais... <BR>A mon avis, tu peux laisser de coté IPCop pour ce besoin... En effet, tu auras pas mal de mdifications à faire à la main dans les règles, car IPCop est "preconfiguré" pour partager un acces internet type adsl.... <BR> <BR>Regarde un peu du coté de Gibraltar, ou quelques autres distribs qui te laissent un peu plus de liberté (j'aime beaucoup Gib', sauf la politique de prix <IMG SRC="images/smiles/icon_boxe2.gif"> ) <BR> <BR>t.

[antarex]

J'aime bien l'interface web de configuration de ipcop... je sais que je pourrais installer une distribution minimale et à partir de là m'amuser avec iptables, mais j'aimerais pouvoir profiter d'une interface simplifiée de configuration comme celle d'IPcop... <BR> <BR>Même si à la première installation je dois bidouiller à la main les settings qui ne correspondent pas à mes besoins, je préfère pouvoir profiter ensuite de l'interface pour permettre à "n'importe qui" dans la société de pouvoir accéder facilement aux logs d'alertes, de l'IDS, et permettre facilement à qqun d'ouvrir un port sans que je doive moi même intervenir... <BR> <BR>