[RESOLU] Désactiver le NAT sur la DMZ

[Kwint]

Bonjour à toute la communauté Ixus.net !

Je suis nouveau même si ça fait un moment que je lis pas mal de posts pour ipcop...

Je travaille dans une entreprise qui a un petit parc de machines hébergeant sites web, bases de données...
Je cherche une solution qui me permettrait d'avoir un firewall en remplacement à notre vieux 3Com 10 Mo. C'est donc naturellement que je me suis orienté vers IPCop qui me parait être une distribution (simple) pour faire une petite transition vers le monde linux... (et oui j'ai jamais osé même si ça me tente beaucoup ! ). Cette distri pourra être administré plus facilement quand je ne serai plus là par d'autres collègues...

Mon soucis: c'est qu'on a en notre possession une tranche d'adresses IP publiques, et que tous nos serveurs actuellement en DMZ sur le 3Com utilisent ces adresses.

Ma question: est-il possible de désactiver le NAT sur la DMZ (d'IPCop) pour m'éviter de tout réadresser ?? et donc de faires la manip de Bagt (tout passer en IP privées et faire correspondre 1 à 1 les IP publiques): http://forums.fr.ixus.net/viewtopic.php ... s&start=15

Voilà, en vous remerciant d'avance !

PS: j'ai lu plusieurs posts de Tom-Tom mais je n'ai pas vu si tout ça était possible...

[jdh]

Cela doit être possible puisqu'il faut une instruction précise pour faire du NAT (sous Linux on parle plutôt de MASQUERADE). Mais comme je ne connais pas précisément IPCOP, je suis incapable d'être précis. Sous Shorewall, c'est très facile, il suffit de vérifier le fichier "masq".

Toutefois, concernant l'adressage, je voulais dire quelque chose et c'est tiré de mon expérience perso.

Quand on demande des ip publiques à un FAI, celui donne 8 (soit /29 ) ou 16 (soit /28 ) adresses. En enlevant le n° de réseau (.0), le broadcast (.255) et l'adresse du routeur, on déduit donc 3 adresses d'où 5 ou 13 adresses ip disponibles.

Si on attribue des ip publiques aux serveurs de la DMZ, il faut au préalable "couper" la range réseau donnée. Par exemple un réseau /28 soit 16 adresses est coupé en 2 réseaux /29 soit 8 adresses répartis en un réseau devant le firewall et le réseau DMZ. En définitive, il reste 5 adresses ip en DMZ disponibles ... en partant de 16 ip attribuées. Quel gaspillage !

Il reste possible de ne pas "couper" la range mais cela suppose d'activer le "proxy-arp" (ce qui affaiblit la résistance au Denial-Of-Service si j'ai bien suivi).

De plus, ce ne sera pas le temps de changement d'adresses qui allongera fondamentalement le temps de traitements des paquets. Un fois que l'on est en train d'analyser le paquet, changer d'adresse ne sera pas bien long.

Par ailleurs, le fait de réorganiser toutes ces adresses va t'obliger de redéfinir les règles de sécurité ce qui ne peut être mauvais dans l'idée mais pas forcément sans pb à l'instant T du changement.

[Kwint]

Merci pour ta réponse rapide jdh !

En ce qui concerne notre adressage, nous avons 2 plages publiques avec un masque 255.255.255.192 (/26).
On a donc pas trop de problèmes de pénurie... par contre je ne comprends pas trop l'intérêt de découper chaque plage, puisque je garde une plage publique pour mettre devant le firewall (zone WAN) et l'autre plage pour la DMZ.
De toute façons je veux justement éviter de changer les adresses ip de chaque serveur, l'idéal étant de désactiver le masquerading sur la DMZ pour pouvoir laisser l'ip PUBLIQUE à chaque serveur.

Ma seule solution pour l'instant est donc de mapper une adresse privée par adresse publique (mais m'oblige a passer les ip des serveurs en privées).

En fait est ce que le fait de supprimer la ligne "/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE" dans le fichier rc.firewall, me permettra de désactiver le masquerading pour la DMZ ??? (bien sur il faut qu'il y ait du masquerading pour le LAN...).

Heu j'éspère que c'est compréhensible...


Sur ce merci et a+[/img]

[jdh]

Salut Kwit,

Des réseaux /26 ! C'est effectivement très confortable !

Je pense qu'il ne faut pas couper ces ranges fournies par un FAI parce que cela revient à en perdre. De plus ce pas le temps de translation d'adresses qui retarde vraiment le traffic : quand on en est à analyser l'intérieur de la trame avant de la transmettre, cela ne coûte pas de changer aussi une adresse.

Par ailleurs cela t'obligerait à interrompre le service pour réadresser, modifier les règles de routages et de filtrage. Mais cette obligation est une opportunité de revoir exactement le fonctionnement. Et ce n'est pas mauvais.


Bien sur, tu peux laisser un adressage public en DMZ ... par facilité. De fait, il ne faut pas faire de MASQUERADE. Et la ligne que tu indiques me semble effectivement la ligne à mettre en commentaire. Bien vu ! (Je ne connais pas assez IPCOP : en principe dans la chaine REDNAT il faudrait 2 lignes -o $(red) -i $(green) et -o $(red) -i $(orange); et il faudrait commenter la 2me ligne)

Cela dit, je répete, il vaut mieux éviter d'utiliser un adressage public dans un réseau privé mais aussi dans une DMZ.

[Kwint]

Oui je sais que ça serait l'occasion de revoir toutes les règles... ce qui va de toutes façons être fait (ça fait parti de mon projet).
La raison pour laquelle je ne veux pas tout réadresser, c'est que certaines pages web, bases de données...(enfin je suis pas trop calé là dessus) ont été codées en dur (donc apparament à l'arrache à ce que me disent les programmeurs). La mise en réseau repose donc sur des adresses ip et non des noms d'hôtes: donc tu peux imaginer ce que ça donnerait si je me mets à changer toutes les ip

Voilà, sinon pour changer un peu de ma première demande, tu parlais de Shorewall (mnf en fait non ?? enfin je me perds un peu...) et j'avais l'impression quand j'ai cherché des infos là dessus que cette distri avait l'air pas mal du tout... Est-ce que tu peux m'en dire plus dessus ?
Est-elle payante (pour une entreprise) ? (le site officielle de mnf ne marche pas http://www.linux-mandrake.com/).
Est-ce qu'il y a une interface graphique GUI (compréhensible...) ?
Est-ce qu'elle a autant d'options qu' IPCop ? des addons qui se rajoutent ? genre block out traffic, cop filter...?
Est-il possible d'avoir 3 interfaces ? ... et surtout d'avoir des ip publiques sur la DMZ éhé suis là pour ça surtout !!

Enfin voilà... désolé pour toutes ces questions mais je ne connais pas encore grand chose aux distributions linux (et spécialisées firewall).
En tous cas j'ai vraiment envie d'aller dans ce sens et je voudrais pas décevoir mon boss alors que je lui vantais le monde libre...

Encore merci pour tout !!

[Kwint]

Ouais oublie mon message d'avant je suis complètement à côté de la plaque... shorewall n'est qu'un firewall qui se rajoute a une distribution ? si j'ai bien compris...

Je cherche surtout un truc "facile d'installation et d'utilisation" enfin qui comporte au moins une interface gui classique... c'est pas spécialement moi qui cherche la simplicité (j'ai envie d'apprendre) mais c'est pour mes futurs successeurs dans l'entreprise (donc pas de lignes de commandes si possible) mais je sais pas trop vers quoi m'orienter... (je dérive du post initial désolé les modos!!!)

Si qq1 peut me conseiller

[jdh]

Shorewall est un outil qui en quelque sorte générère des règles iptables (il ne produit pas un script stricto sensu). Il s'agit d'un logiciel qui existe depuis longtemps (suite de Seattle Wall). Il a été choisi depuis déjà quelques années par Mandrake (Mandriva) pour les distributions spécialisées SNF et MNF ainsi que les distrib standards Mandrake 8, 9, 10, ...

MNF est, en effet, un excellent produit : multi-zones, multi-ip, interface web, réglages par défaut assez surs (plus sur qu'IPCOP par exemple où il faut BOT pour interdire la sortie autorisée par défaut). Mais il y a beaucoup d'autres distributions intéressantes ...

Je ne connais pas bien MNF (hors ses caractéristiques), je préfère les fichiers texte qui sont dans le cas de Shorewall vraiment assez simples.

Il ne faut jamais oublier que c'est d'abord l'homme qui est l'élément le plus important dans la sécurité même si une distribution apporte des éléments déjà bien conçus.

Quand à la programmation de site Web, la notion d'URL "relative" au lieu d'"en dur" est un élément de base malheureusement parfois oublié.

[Kwint]

Juste un ptit

Comment ça se fait qu'on a pas l'interface "-i $(green)" ou "-i $(orange)" dans la ligne du fichier rc.firewall : "/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE" ???

Comment désactiver le masquerading pour la DMZ mais pas pour le lan ??

Une ptite idée qq1 svp ??

Merki !

[Kwint]

Encore un ptit

Siouuuuplait.... tomtom ou qq1 d'autre qui saurait me répondre (un bon ipcopien qui se respecte) ??? c'est super important.... mon heure va sonner sinon...
Merci !

[Franck78]

Juste un ptit

Comment ça se fait qu'on a pas l'interface "-i $(green)" ou "-i $(orange)" dans la ligne du fichier rc.firewall : "/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE" ???

Comment désactiver le masquerading pour la DMZ mais pas pour le lan ??

Une ptite idée qq1 svp ??

Merki !

essaie en modifiant la ligne incrimibée comme ceci:

/sbin/iptables -t nat -A REDNAT -i $GREEN_DEV -o $IFACE -j MASQUERADE"
ou

[Kwint]

Oups j'avais oublié de te remercier...
MERCI !

[Franck78]

J'aimerais plutôt que tu dises si tu l'as fait et si tu as rencontré des bizzareries...

[Kwint]

Salut !

Je devais faire ça dans la nuit de mardi à mercredi mais finalement ça a été repoussé à la nuit de mercredi à jeudi prochain... Le gérant veut être là pour constater la casse le lendemain si jamais... ( ). Wait and see !
Ca m'énerve d'attendre... depuis le temps que je dois le faire; mais bon ! J'ai une nuit complète pour tester.

J'essayerai de désactiver le masquerading sur la DMZ en premier...
en remplaçant "/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE"
par "/sbin/iptables -t nat -A REDNAT -i $GREEN_DEV -o $IFACE -j MASQUERADE"
Si j'ai bien compris, ça forcera le masquerading sur le green (et du coup pas de masquerading sur le orange... c'est ça ?? tu me confirmes ??)...

Et si ça fonctionne pas je ferai correspondre les adresses publiques une par une avec des adresses privées (en ayant déclaré toutes ces adresses publiques en alias au préalable, et en passant les serveurs avec ces adresses privées):
/sbin/iptables -t nat -A REDNAT -s 192.168.2.2 -o $IFACE -j SNAT --to-source 62.161.X.X1
/sbin/iptables -t nat -A REDNAT -s 192.168.2.3 -o $IFACE -j SNAT --to-source 62.161.X.X2
/sbin/iptables -t nat -A REDNAT -s 192.168.2.4 -o $IFACE -j SNAT --to-source 62.161.X.X3

ça te parait correcte tout ça ??

j'ai vu que pas mal d'autres posts parlaient de ça... est-ce que d'autres personnes ont testé quelquechose de similaire ?? TomTom est-ce que tu a déja essayé le source nat comme ceci ???

Merci à tous pour vos réponses !!
et bonne journée !

[Kwint]

Salut !

Bon ba finalement j'ai opté pour passer tous les serveurs en adresses ip privées.
J'ai créé des alias sur red avec mes ip publiques et j'ai forwardé chaque port pour chaque serveur (eux mêmes ratachés à chaque alias)...

Ca fonctionne sans problème mis à part une longue reconfiguration des serveurs (ip d'écoute à changer sur les serveurs ftp, web...).

Finalement je n'ai pas tenté de désactiver le masquerading sur orange parcque tout bêtement je ne savais pas comment forwarder les ports pour chaque serveur (à moins d'avoir des alias... --> mais bon ça veut dire même adresses sur le red et sur le orange ?!! ).

Voilà sinon ça marche ! merci pour vos réponses Jdh et Franck78 !
a+