Ouverture d'une plage de ports à une plage IP

[basilou]

Bonjour,
J'utilise IPCop v1.3.0 fix 9 jusqu'a maintenant j'avais besoin d'ouvrir une plage de port vers une seule adresse IP chose qui est facile.
Mais pour les besoins de ma structures j'ai besoin d'ouvrir la plage 6500:6550 à tous mon réseau GREEN, chose que ne se sait pas faire.

Quelqu'un pourrais-t-il me dire comment procéder...
Merci, Basilou

[tomtom]

Comment est ton architecture ?

Si tu fais un nat classique avec une seule ip publique, alors depuis l'exterieur, une seule ip ets visible, c'est celle de ipcop.

Or, avec le fonctionnement du nat, c'est un transfert de port et d'ip qui est fait pour retrouver le bon destinataire.

Ceci implique qu'une redirection ne peut se faire que sur la base du port utilisé.
Et donc, tu ne peux transferer qu'un port vers une ip (ou plusieurs ports vers une ip), mais pas vers plusieurs.

Par contre, si du coté red, on voit directement les vraies addresses du green (non translatées donc), alros ce devient possible.

Mais ce n'ets pas le fonctionnement d'ipcop !

t.

[phaby]

:o

j'ai besoin d'ouvrir la plage 6500:6550 à tous mon réseau GREEN, chose que ne se sait pas faire.

cela ne reviendrait-il pas simplement à ouvrir cette plage de port (puisque les destinataires sont n'importe qui de Green)??

[basilou]

En fait je veux utiliser un logiciel de controle à distance du type vnc.
Jusqu'a maintenant c'était facile car j'avais des adresse IP Static.
Je voudrais prendre le controle à distance de n'importe quel ordinateur, pour cela il faut que je leur attribut un port. Le seul hic est qui sont en DHCP avec une adresse qui change tous les jours.
Est-il alors possible de redirigé un port vers un nom d'ordinateur plustot que vers une adresse IP ?

[mickbej]

Les baux fixes pour les postes concernes c'est pas mieux??

[basilou]

Comment ça, Je ne comprend pas

[Taltos]

En fait je veux utiliser un logiciel de controle à distance du type vnc.
Jusqu'a maintenant c'était facile car j'avais des adresse IP Static.
Je voudrais prendre le controle à distance de n'importe quel ordinateur, pour cela il faut que je leur attribut un port. Le seul hic est qui sont en DHCP avec une adresse qui change tous les jours.
Est-il alors possible de redirigé un port vers un nom d'ordinateur plustot que vers une adresse IP ?

mes clients sont en dhcp et ils ne changent JAMAIS d'adresse IP.....

un client en DHCP et un DHCP essaie toujours de garder la meme IP.. si ca change tous les jours c'est qu'il y a un probleme !!!

autrement tu peux creer des reservation et dire a ton DHCP de toujours donner une adresse IP donnée a un client donne ....

enfin si mais clients changent d'adresse IP leur nom lui ne change pas ........
si tu a un bon mappage DNS ou WINS tu connaitra toujour leurs adresses IP ...

A+

[basilou]

Merci,

En fait ce que je voudrais c'est faire un PORT FOWARDING vers un nom d'ordinateur et non vers une IP.
Le problème est que je ne sais pas quelle commende utiliser.

[mickbej]

les baux fixes, c'est reserver une adresse ip a une carte reseau a l'aide de son adresse mac.

C'est comme faire de l'adressage statique sauf que si tu as une modif a faire pour le reseau ca se fait sur l'ipcop.

De toutes facons si tu utilise le dhcp de l'ipcop, il contient un serveur de dns local. donc le nom de ta becane c'est http://lenomdupc.tondomaine si il heberge un serveur web local.

[Franck78]

Comme l'a si bien expliqué Tomtom, ce n'est pas possible. Vu depuis l'extérieur,(l'internet), il n'y a pas de réseau derrière le fw. Il n'y a qu'une machine. (sauf les privilégiés ayant obtenu une ip classe B pour eux).
Ouvrir le port 6500 par exemple n'a aucun sens car c'est l'adresse IP du FW qui est destinataire. Et le FW n'a que faire de cette connexion !

Et l'idée 1 port / 1 forward est lourde à administrer. Avec DHCP par dessus c'est carrèment un module tout neuf qu'il faut écrire pour automatiser tout ça.
D'autant plus qu'il faut OBLIGATOIREMENT les prendre sous 1024. Et oui, qu'est-ce qui ce passe si un client ouvre une session avec le socket 6500 pour le retour ?

En fait il faut que la machine de controle soit elle aussi sur le réseau local pour écouter ce qui s'y passe et prendre controle d'une autre.
A distance, on passe dans un tunel vpn pour obtenir ce résultat...

bye