Question au sujet du Port Forwarding / translation inverse

[checkpoint_ipcop]

Bonjour à tous

voila dant le cadre d'une mise en prod de plusieurs systemes de video conference
je dois lier un site en checkpoint et dans un premier temps un autre site en Ipcop 1.4.21

les prerequis sont que l'on doit dedier 1 Ip pub pour la communication entre les 2 sites
pas de pb pour les checkpoints , mais ca se complique pour L'ipcop.

Pour l'ipcop, j'avais l'habitude d'utiliser le Port Forwarding sur des ports/Ippub --> IP priv/port
le pb etant que ca doit IMPERATIVEMENT fonctionner dans l'autre sens ,c'est a dire que quand le packet
doit ressortir du fw il doit prendre l'ip publique dedié ET NON celle du Fw

je m'explique si le fw a l'adresse pub A et mon adresse IP publique B, et C mon adresse Privée le port forwarding fonctionne trés bien quand on fait packet --> B --> C mais quand il sort il fait C --> A --> internet.

quel addons me permettrait de creer de vrais regles de translation ou je pourrais indiquer quelle ip publique choisir dans le sens de retour pour la translation inverse.

Merci d'avance pour vos reponses.

[ccnet]

Aucun addon ne pemet cela. Ipcop n'est pas conçu pour cela. Le problème est régulièrement débatu sur ce forum et une solution, que je conseille pas, se trouve ici.

http://forums.ixus.fr/viewtopic.php?t=4 ... ++firewall
http://forums.ixus.fr/viewtopic.php?t=4 ... ++firewall

Sinon avec de la videoconf vous allez avoir à faire sans doute à H323. Je ne sais pas bien comment vous allez gérer cela sur ipcop. C'est pas gagné.

[checkpoint_ipcop]

Aucun addon ne pemet cela. Ipcop n'est pas conçu pour cela. Le problème est régulièrement débatu sur ce forum et une solution, que je conseille pas, se trouve ici.

http://forums.ixus.fr/viewtopic.php?t=4 ... ++firewall
http://forums.ixus.fr/viewtopic.php?t=4 ... ++firewall

Sinon avec de la videoconf vous allez avoir à faire sans doute à H323. Je ne sais pas bien comment vous allez gérer cela sur ipcop. C'est pas gagné.

Merci pour cette info , je regarde ce que je peux en faire , sinon pour le H323 que veux tu dire par la ?
normalement l'ipcop ne touche pas au contenu ?

[ccnet]

Pour le nat c'est parfaitement fonctionnel il suffit de suivre les indications données.

Pour h323 le problème est qu'il ne suffit pas d'ouvrir un port pour le faire passer. Son fonctionnement est assez complexe et surtout il nécessite des ouvertures de ports de façon dynamique et aléatoire. Cela amène à compromettre les règles de sécurité souhaitable pour une machine exposé vis à vis d'internet.

[checkpoint_ipcop]

Pour le nat c'est parfaitement fonctionnel il suffit de suivre les indications données.

Pour h323 le problème est qu'il ne suffit pas d'ouvrir un port pour le faire passer. Son fonctionnement est assez complexe et surtout il nécessite des ouvertures de ports de façon dynamique et aléatoire. Cela amène à compromettre les règles de sécurité souhaitable pour une machine exposé vis à vis d'internet.

j'aurais pas le choix que de mettre une acl sur l'ip qui communiquera sur le NAT , (même si la protect aniti spoof est ...)

merci encore 1000 fois de ces infos

[checkpoint_ipcop]

Pour le nat c'est parfaitement fonctionnel il suffit de suivre les indications données.

Pour h323 le problème est qu'il ne suffit pas d'ouvrir un port pour le faire passer. Son fonctionnement est assez complexe et surtout il nécessite des ouvertures de ports de façon dynamique et aléatoire. Cela amène à compromettre les règles de sécurité souhaitable pour une machine exposé vis à vis d'internet.

CA MARCHE VISIOCONF 4MB LOS ANGELES-PARIS 50 FPS : OK
IP pub dedié en translation 1:1 : ok
redirection de ports avec ACL : ok

CEST TOP !!!!!!!

merci pour ces infos