Nouvelle Install : dhcp sur Green1 + dhcp sur Green2

[Kim HIJAH]

Bonjour,

J'ai l'intention d'installer IpCop 1.4.x sur ma Gateway/FireWall.

Voici le topo.

RED (Internet) sur eth0, via routeur cisco, adr 192.168.168.x
ORANGE (DMZ) sur eth1, adr publique, 192.139.15.x
GREEN (GREEN1), sur eth2, adr 192.168.94.x, attribution actuelle fixe, je voudrais changer en dhcp
GREEN (GREEN2), sur eth3, adr 192.168.60.x, attribution par dhcp

J'ai cherché de la doc pour pouvoir faire tourner le serveur dhcp pour servir 2 interfaces sur le même PC, mais rien trouvé.
Est-ce que IpCop permet ce genre de config un peu zarbi?
Dans l'affirmative commen faire?

[schlouf]

L'installation de 2 reseaux verts necessitera une modification. Pour ton usage, tu pourrais te servir de l'interface bleu et vert, les deux offrent la possiblite dhcp. Pour les acces, vert accede au bleu mais bleu n'accede pas au vert. Tu peux malgre tout permette une communication bleu vers vert moyennant des pinholes.

Pour ce qui est de l'orange, je ne sais pas si tu peux avoir un range ip public dessus, mais independamment de tout cela, mais si c'est possible, tu ne peux de toute facon pas le router par un ip prive (ton rouge est en 192.168.168.x). Ainsi, tu vas devoir repenser ton adressage...

[Kim HIJAH]

Je viens de trouver une réponse pour une config standard.
http://twiki.zaup.org/view/Riha/ConfigDHCP

Donc, au cas où, ben ... modif à la main.

J'ai pas besoin que Green1 et Green2 communiquent.
Il suffit qu'ils aient accès à Orange et à Red.

Merci pour la piste.

[Kim HIJAH]

Sur ce point pas de pb, ça marche sur la config actuelle.

Le routeur nous branche sur un routeur de notre FAI,
donc entre les routeurs adrr privé mais an deça des routeurs adrr publics, y a pas de pb.

Heu .. petite précision : toutes les adresses IP sont routables (publiques ou privés).
Ce sont certains protocoles qui ne sont pas routables (NetBios) et d'autres aussi sont routables (IPX/SPX).

Encore Merci.

[Franck78]

Je viens de trouver une réponse pour une config standard.
http://twiki.zaup.org/view/Riha/ConfigDHCP

Donc, au cas où, ben ... modif à la main.

J'ai pas besoin que Green1 et Green2 communiquent.
Il suffit qu'ils aient accès à Orange et à Red.

Merci pour la piste.

Hello,

Pour configurer le DHCP sur une nouvell interface, tu pourras utiliser le GUI de Ipcop, moyennant quelques lectures/modif du code perl.
En effet, en reécrivains ce bout de code, j'ai implémenté une 'liste d'interface'.
Elle contient seulement GREEN,BLUE

dhcp.cgi:

Code: Tout sélectionner

@ITFs=('GREEN','BLUE');

et est rallongeable à volonté.

De cette manière, le fichier de conf est généré pour chacune d'entre elle, si elle est activée dans ipcop/ethernet/settings

dhcp.cgi:

Code: Tout sélectionner

if ($netsettings{"${itf}_DEV"} ne '' )
{ ...


Reste plus qu'a retailler 'restart_dhcp.c' pour le rendre aussi générique!

Bye

[schlouf]

Heu .. petite précision : toutes les adresses IP sont routables (publiques ou privés).
Ce sont certains protocoles qui ne sont pas routables (NetBios) et d'autres aussi sont routables (IPX/SPX).

...oui, mais toutes les ip ne sont pas routables sur internet (les ranges ip prives ne le sont pas), d'ou ma remarque

aussi, je suppose que tu ne loues pas le bloc d'adresses publiques, mais tu l'as choisi de facon arbitraire. autant y mettre un range prive pour ne pas avoir des conflits.

[Kim HIJAH]

B!

schlouf

J'insiste : les adresses IP sont routables, c'est l'étendue du routage qui est different, les IP privés sont routables dans l'étendue des réseaux à addrr privés, donc, effectivement pas sur internet, mais peuvent être routé à travers internet (cas des VPN); ou, comme dans le cas présent, router des addrr pub à travers des addrr priv; les routeurs travaillant sur les couches 3/4 du modèle OSI, cela ne pose pas de pb majeur.
Mais, oui vous avez raison, pas moyen de router des addrr priv sur le net, d'ou le NAT (pour avoir une addrr pub, à la place de 'n' addrr priv.
Les addrr de broadcast non plus ne sont pas routés (pourtant IP (pub/priv)).

J'ai pas de conflit puisque ça marche, j'ai un serveur en IP Public, relié au firewall (doté d'1 interface en IP Pub), lequel firewall est connecté sur le routeur (en IP Priv) et sur 2 réseaux en IP Priv.
Ce que je veux c'est remplacer l'OS (Mdk10.0) du firewall (les màj sont lourdes).
Et au passage améliorer la gestion de l'ensemble, ainsi qu'optimer l'usage du la BP (d'ou l'implantation du proxy), avec en bonus la possibilité d'interdire l'accès à certains sites pas recommandables, et fermer les ports p2p.

Franck
Le truc sur la modif du script on peut avoir des détails?

Code: Tout sélectionner

Retailler restart_dhcp.c

ça veut dire modifier le code puis le recompiler?
Quels modifs sur le code? ça a déja marché qq part?

Rmq1 : IpCop n'est pas encore installé.
Rmq2 : je suis pas programmeur. Plutot utilisateur avancé qui s'est retrouvé admin réseau un peu par accident.

Et encore merci.

[Franck78]

B!


Franck
Le truc sur la modif du script on peut avoir des détails?

Code: Tout sélectionner

Retailler restart_dhcp.c

ça veut dire modifier le code puis le recompiler?
Quels modifs sur le code? ça a déja marché qq part?

Rmq1 : IpCop n'est pas encore installé.
Rmq2 : je suis pas programmeur. Plutot utilisateur avancé qui s'est retrouvé admin réseau un peu par accident.

Et encore merci.

Rajouter une autre 'vraie' interface verte implique beaucoup de boulot sur le source Ipcop.
L'implanter 'en dur' sans trop de gestion à partir du GUI simplifie la tache. Ma remarque est pour ce cas, précisément. Quelques modifs, et la conf du dhp est possible pour 'pleins' de carte réseau à partir du GUI.

Il faut pour ça être curieux, développeur au moins un peu et avoir du temps pour écrire ça...

Des détails (aide) si tu veux, mais sur des points précis, montrant que tu a fais ta part de recherche

Bye

[Kim HIJAH]

S!

Jamais écrit de script.
Jamais modif une source.

Compilé et patché le kernel pour avoir les touches spéciales de l'ordi portable mais pas plus.

Et comme je n'ai pas de PC de test, et que je suis obligé de travailler sur des pc en prod, préfère pas prendre le risque.
Lâche, peut-être pas, je dirais plutôt fainéant
J'aime bien rester couché quand je suis pas obligé de passer une nuit blanche (genre serveur en rade, connection défaillante, ...), au pire aller en boite

Je me contenterait de RED + ORANGE + GREEN + BLUE, avec GREEN et BLUE en dhcp (adressage dynamique).

Plus de 1 interface GREEN sur un firewall/gateway, ça doit pas être aussi rare.
Ou bien je suis bizar.

Là j'ai gravé IpCop 1.4.2 et j'attend qu'il y ait une coupure de courant pour ré-installer le firewall.
Intérêt à ce que ça soit opérationnel en 30mn après rétablissement du courant.
Ici à Madagascar [http://fr.wikipedia.org/wiki/Madagascar], les coupures de courant c'est au moins une fois par semaine, même par beau temps, les jours de mauvais temps je vous dis pas.

Merci pour la bonne volonté de tous et @+