Je souhaite mettre en service un Pare-feu 3 cartes :
eth0 : 195.1.2.98 (net) 1 IP externe
eth1 : 195.1.2.99 (dmz) X IP DMZ
eth2 : 192.168.x.x (loc)
J'échoue lamentablement pour gèrer le routage entre eth0 et eth1, car
quelque soient les masques de réseau, ces cartes "partagent" au moins une
adresse ip.
Ici eth1 "gère" l'adresse principale d'eth0 soit 195.1.2.98.
La solution passe par une bonne définition des interfaces + des règles de
routage ?
Ou faut t'il sortir l'armada du firewall bridge ou du proxy-arp ?
Les firewall box du marché ou les distribs toutes faites gèrent ça
apparement les doigts dans le nez, mais à la main avec un kernel 2.4.24,
ifconfig, ip, et shorewall je sèche comme un bleu..
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"mathieu" wrote in message news:c0qfn0$24dq$
Un fournisseur me donne les 32 ips suivantes, je n'ai pas d'ip autres telle qu'un lien DSL sur un autre réseau. :
Address: 195.1.2.96 Netmask: 255.255.255.224 = 27 Wildcard: 0.0.0.31 => Network: 195.1.2.96/27 Broadcast: 195.1.2.127 HostMin: 195.1.2.97 HostMax: 195.1.2.126 Hosts/Net: 30 Je souhaite mettre en service un Pare-feu 3 cartes : eth0 : 195.1.2.98 (net) 1 IP externe eth1 : 195.1.2.99 (dmz) X IP DMZ eth2 : 192.168.x.x (loc)
Ha bah oui mais non, ca va pas pouvoir marcher là avec ces adresses...
J'échoue lamentablement pour gèrer le routage entre eth0 et eth1, car quelque soient les masques de réseau, ces cartes "partagent" au moins une adresse ip.
Oui, il faut changer l'adresse de eth1... mais dans ce cas, tu "perds" 14 adresses adressables !!
ex : eth0 : 195.1.2.98/32 (net) eth1 : 195.1.2.99/27 (dmz) eth2 : 192.168.x.x (loc) Ici eth1 "gère" l'adresse principale d'eth0 soit 195.1.2.98.
Oui, l'adresse 195.1.2.98 est dans la plage définie (mal définie d'aileurs car l'adresse de réseau est 195.1.2.96)
La solution passe par une bonne définition des interfaces + des règles de routage ?
Non.
Ou faut t'il sortir l'armada du firewall bridge ou du proxy-arp ?
Ca s'en rapproche. Une simple NAT statique sur le linux est à mon avis la meilleure solution.
Les firewall box du marché ou les distribs toutes faites gèrent ça apparement les doigts dans le nez, mais à la main avec un kernel 2.4.24, ifconfig, ip, et shorewall je sèche comme un bleu..
Deux solutions à mon avis (il y en a surement d'autres) 1- Changer l'IP de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds toutes les adresses de 195.1.2.98 à 195.1.2.110. 2- Faire de la NAT statique sur le linux.
Shorewall -> poubelle ;-) Iptables -> cool !
Un petit script avec iptables devrait faire l'affaire, du genre:
# pour rendre les machines de la DMZ accessibles depuis Internet, # en faisant varier X selon les adresses iptables -t nat -A PREROUTING -i eth0 -d $ADRESSE_PUBLIQUE_X -j DNAT --to-destination $ADRESSE_DMZ_X
# pour que les machines du réseau local puissent sortir iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Les docs d'iptables sont plutôt bien faites et même en français ! gogo netfilter.org
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"mathieu" <mollo@pasdejambon-bghflt.org> wrote in message
news:c0qfn0$24dq$1@biggoron.nerim.net
Un fournisseur me donne les 32 ips suivantes, je n'ai pas d'ip autres
telle qu'un lien DSL sur un autre réseau. :
Address: 195.1.2.96
Netmask: 255.255.255.224 = 27
Wildcard: 0.0.0.31
=>
Network: 195.1.2.96/27
Broadcast: 195.1.2.127
HostMin: 195.1.2.97
HostMax: 195.1.2.126
Hosts/Net: 30
Je souhaite mettre en service un Pare-feu 3 cartes :
eth0 : 195.1.2.98 (net) 1 IP externe
eth1 : 195.1.2.99 (dmz) X IP DMZ
eth2 : 192.168.x.x (loc)
Ha bah oui mais non, ca va pas pouvoir marcher là avec ces adresses...
J'échoue lamentablement pour gèrer le routage entre eth0 et eth1, car
quelque soient les masques de réseau, ces cartes "partagent" au moins une
adresse ip.
Oui, il faut changer l'adresse de eth1... mais dans ce cas, tu "perds"
14 adresses adressables !!
ex :
eth0 : 195.1.2.98/32 (net)
eth1 : 195.1.2.99/27 (dmz)
eth2 : 192.168.x.x (loc)
Ici eth1 "gère" l'adresse principale d'eth0 soit 195.1.2.98.
Oui, l'adresse 195.1.2.98 est dans la plage définie (mal définie
d'aileurs car l'adresse de réseau est 195.1.2.96)
La solution passe par une bonne définition des interfaces + des règles de
routage ?
Non.
Ou faut t'il sortir l'armada du firewall bridge ou du proxy-arp ?
Ca s'en rapproche.
Une simple NAT statique sur le linux est à mon avis la meilleure
solution.
Les firewall box du marché ou les distribs toutes faites gèrent ça
apparement les doigts dans le nez, mais à la main avec un kernel 2.4.24,
ifconfig, ip, et shorewall je sèche comme un bleu..
Deux solutions à mon avis (il y en a surement d'autres)
1- Changer l'IP de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds
toutes les adresses de 195.1.2.98 à 195.1.2.110.
2- Faire de la NAT statique sur le linux.
Shorewall -> poubelle ;-)
Iptables -> cool !
Un petit script avec iptables devrait faire l'affaire, du genre:
# pour rendre les machines de la DMZ accessibles depuis Internet,
# en faisant varier X selon les adresses
iptables -t nat -A PREROUTING -i eth0 -d $ADRESSE_PUBLIQUE_X -j DNAT
--to-destination $ADRESSE_DMZ_X
# pour que les machines du réseau local puissent sortir
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Les docs d'iptables sont plutôt bien faites et même en français !
gogo netfilter.org
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Un fournisseur me donne les 32 ips suivantes, je n'ai pas d'ip autres telle qu'un lien DSL sur un autre réseau. :
Address: 195.1.2.96 Netmask: 255.255.255.224 = 27 Wildcard: 0.0.0.31 => Network: 195.1.2.96/27 Broadcast: 195.1.2.127 HostMin: 195.1.2.97 HostMax: 195.1.2.126 Hosts/Net: 30 Je souhaite mettre en service un Pare-feu 3 cartes : eth0 : 195.1.2.98 (net) 1 IP externe eth1 : 195.1.2.99 (dmz) X IP DMZ eth2 : 192.168.x.x (loc)
Ha bah oui mais non, ca va pas pouvoir marcher là avec ces adresses...
J'échoue lamentablement pour gèrer le routage entre eth0 et eth1, car quelque soient les masques de réseau, ces cartes "partagent" au moins une adresse ip.
Oui, il faut changer l'adresse de eth1... mais dans ce cas, tu "perds" 14 adresses adressables !!
ex : eth0 : 195.1.2.98/32 (net) eth1 : 195.1.2.99/27 (dmz) eth2 : 192.168.x.x (loc) Ici eth1 "gère" l'adresse principale d'eth0 soit 195.1.2.98.
Oui, l'adresse 195.1.2.98 est dans la plage définie (mal définie d'aileurs car l'adresse de réseau est 195.1.2.96)
La solution passe par une bonne définition des interfaces + des règles de routage ?
Non.
Ou faut t'il sortir l'armada du firewall bridge ou du proxy-arp ?
Ca s'en rapproche. Une simple NAT statique sur le linux est à mon avis la meilleure solution.
Les firewall box du marché ou les distribs toutes faites gèrent ça apparement les doigts dans le nez, mais à la main avec un kernel 2.4.24, ifconfig, ip, et shorewall je sèche comme un bleu..
Deux solutions à mon avis (il y en a surement d'autres) 1- Changer l'IP de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds toutes les adresses de 195.1.2.98 à 195.1.2.110. 2- Faire de la NAT statique sur le linux.
Shorewall -> poubelle ;-) Iptables -> cool !
Un petit script avec iptables devrait faire l'affaire, du genre:
# pour rendre les machines de la DMZ accessibles depuis Internet, # en faisant varier X selon les adresses iptables -t nat -A PREROUTING -i eth0 -d $ADRESSE_PUBLIQUE_X -j DNAT --to-destination $ADRESSE_DMZ_X
# pour que les machines du réseau local puissent sortir iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Les docs d'iptables sont plutôt bien faites et même en français ! gogo netfilter.org
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
T0t0
"T0t0" wrote in message news:
Deux solutions à mon avis (il y en a surement d'autres) 1- Changer l'IP de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds toutes les adresses de 195.1.2.98 à 195.1.2.110. 2- Faire de la NAT statique sur le linux.
Shorewall -> poubelle ;-) Iptables -> cool !
Un petit script avec iptables devrait faire l'affaire, du genre:
# pour rendre les machines de la DMZ accessibles depuis Internet, # en faisant varier X selon les adresses iptables -t nat -A PREROUTING -i eth0 -d $ADRESSE_PUBLIQUE_X -j DNAT --to-destination $ADRESSE_DMZ_X
Oups, dans ce cadre, il sera aussi sûrement nécessaire de faire du proxy ARP pour que la machine linux réponde aux requêtes ARP pour les adresses $ADRESSE_PUBLIQUE_X. Dans ce cas, faire pour toutes les adresses publiques: ip address add $ADRESSE_PUBLIQUE_X dev eth0 ;-) L'interface de ton firewall eth0 étant définie par 195.1.2.97/27 et celles de tes machines par 195.1.2.98-...-126
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"T0t0" <bibi@antionline.org> wrote in message
news:aa83f5e0b3c7faf4285032a6fa6cbd62.28089@mygate.mailgate.org
Deux solutions à mon avis (il y en a surement d'autres)
1- Changer l'IP de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds
toutes les adresses de 195.1.2.98 à 195.1.2.110.
2- Faire de la NAT statique sur le linux.
Shorewall -> poubelle ;-)
Iptables -> cool !
Un petit script avec iptables devrait faire l'affaire, du genre:
# pour rendre les machines de la DMZ accessibles depuis Internet,
# en faisant varier X selon les adresses
iptables -t nat -A PREROUTING -i eth0 -d $ADRESSE_PUBLIQUE_X -j DNAT
--to-destination $ADRESSE_DMZ_X
Oups, dans ce cadre, il sera aussi sûrement nécessaire de faire du
proxy ARP pour que la machine linux réponde aux requêtes ARP pour
les adresses $ADRESSE_PUBLIQUE_X.
Dans ce cas, faire pour toutes les adresses publiques:
ip address add $ADRESSE_PUBLIQUE_X dev eth0
;-)
L'interface de ton firewall eth0 étant définie par 195.1.2.97/27
et celles de tes machines par 195.1.2.98-...-126
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Deux solutions à mon avis (il y en a surement d'autres) 1- Changer l'IP de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds toutes les adresses de 195.1.2.98 à 195.1.2.110. 2- Faire de la NAT statique sur le linux.
Shorewall -> poubelle ;-) Iptables -> cool !
Un petit script avec iptables devrait faire l'affaire, du genre:
# pour rendre les machines de la DMZ accessibles depuis Internet, # en faisant varier X selon les adresses iptables -t nat -A PREROUTING -i eth0 -d $ADRESSE_PUBLIQUE_X -j DNAT --to-destination $ADRESSE_DMZ_X
Oups, dans ce cadre, il sera aussi sûrement nécessaire de faire du proxy ARP pour que la machine linux réponde aux requêtes ARP pour les adresses $ADRESSE_PUBLIQUE_X. Dans ce cas, faire pour toutes les adresses publiques: ip address add $ADRESSE_PUBLIQUE_X dev eth0 ;-) L'interface de ton firewall eth0 étant définie par 195.1.2.97/27 et celles de tes machines par 195.1.2.98-...-126
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
mathieu
On Mon, 16 Feb 2004 14:57:39 +0100, T0t0 wrote:
Salut T0t0!
Merci pour ton aide.
Deux solutions à mon avis (il y en a surement d'autres) 1- Changer l'IP de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds toutes les adresses de 195.1.2.98 à 195.1.2.110. 2- Faire de la NAT statique sur le linux.
Oups, dans ce cadre, il sera aussi sûrement nécessaire de faire du proxy ARP pour que la machine linux réponde aux requêtes ARP pour les adresses $ADRESSE_PUBLIQUE_X.
Je vais prendre la route du ProxyArp, il y a tout ce qu'il faut dans shorewall pour prendre ça en charge.
Ciao' Mathieu
On Mon, 16 Feb 2004 14:57:39 +0100, T0t0 wrote:
Salut T0t0!
Merci pour ton aide.
Deux solutions à mon avis (il y en a surement d'autres) 1- Changer l'IP
de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds toutes les
adresses de 195.1.2.98 à 195.1.2.110. 2- Faire de la NAT statique sur
le linux.
Oups, dans ce cadre, il sera aussi sûrement nécessaire de faire du proxy
ARP pour que la machine linux réponde aux requêtes ARP pour les adresses
$ADRESSE_PUBLIQUE_X.
Je vais prendre la route du ProxyArp, il y a tout ce qu'il faut dans
shorewall pour prendre ça en charge.
Deux solutions à mon avis (il y en a surement d'autres) 1- Changer l'IP de eth1 en 195.1.2.112/28, mais dans ce cas, tu perds toutes les adresses de 195.1.2.98 à 195.1.2.110. 2- Faire de la NAT statique sur le linux.
Oups, dans ce cadre, il sera aussi sûrement nécessaire de faire du proxy ARP pour que la machine linux réponde aux requêtes ARP pour les adresses $ADRESSE_PUBLIQUE_X.
Je vais prendre la route du ProxyArp, il y a tout ce qu'il faut dans shorewall pour prendre ça en charge.
Ciao' Mathieu
Jacques Caron
Salut,
On Mon, 16 Feb 2004 14:14:08 +0100, mathieu wrote:
Network: 195.1.2.96/27
Je souhaite mettre en service un Pare-feu 3 cartes :
eth0 : 195.1.2.98 (net) 1 IP externe eth1 : 195.1.2.99 (dmz) X IP DMZ eth2 : 192.168.x.x (loc)
Options possibles: - mettre des adresses privées sur les deux LAN, avec de la translation d'adresse statique pour la DMZ - faire du bridging entre eth0 et eth1 (pouark) - faire du proxy arp (pouark). Dans ce cas, il faudra quand même changer l'IP de eth1 pour la mettre dans un /28 "dédié" je pense - demander à ce que le fournisseur change le /27 en deux /28, un directement sur le port Ethernet qu'il te donne, l'autre routé statiquement vers une IP dans le premier /28, qui sera l'IP du firewall. Forcément, les deux IP pour eth0 et eth1 ne seront pas consécutives, mais chacune dans un /28 différent. - demander un /30 ou un /32 en plus juste pour le lien Internet <-> firewall
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Mon, 16 Feb 2004 14:14:08 +0100, mathieu <mollo@pasdejambon-bghflt.org>
wrote:
Network: 195.1.2.96/27
Je souhaite mettre en service un Pare-feu 3 cartes :
eth0 : 195.1.2.98 (net) 1 IP externe
eth1 : 195.1.2.99 (dmz) X IP DMZ
eth2 : 192.168.x.x (loc)
Options possibles:
- mettre des adresses privées sur les deux LAN, avec de la translation
d'adresse statique pour la DMZ
- faire du bridging entre eth0 et eth1 (pouark)
- faire du proxy arp (pouark). Dans ce cas, il faudra quand même changer
l'IP de eth1 pour la mettre dans un /28 "dédié" je pense
- demander à ce que le fournisseur change le /27 en deux /28, un
directement sur le port Ethernet qu'il te donne, l'autre routé
statiquement vers une IP dans le premier /28, qui sera l'IP du firewall.
Forcément, les deux IP pour eth0 et eth1 ne seront pas consécutives, mais
chacune dans un /28 différent.
- demander un /30 ou un /32 en plus juste pour le lien Internet <->
firewall
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Mon, 16 Feb 2004 14:14:08 +0100, mathieu wrote:
Network: 195.1.2.96/27
Je souhaite mettre en service un Pare-feu 3 cartes :
eth0 : 195.1.2.98 (net) 1 IP externe eth1 : 195.1.2.99 (dmz) X IP DMZ eth2 : 192.168.x.x (loc)
Options possibles: - mettre des adresses privées sur les deux LAN, avec de la translation d'adresse statique pour la DMZ - faire du bridging entre eth0 et eth1 (pouark) - faire du proxy arp (pouark). Dans ce cas, il faudra quand même changer l'IP de eth1 pour la mettre dans un /28 "dédié" je pense - demander à ce que le fournisseur change le /27 en deux /28, un directement sur le port Ethernet qu'il te donne, l'autre routé statiquement vers une IP dans le premier /28, qui sera l'IP du firewall. Forcément, les deux IP pour eth0 et eth1 ne seront pas consécutives, mais chacune dans un /28 différent. - demander un /30 ou un /32 en plus juste pour le lien Internet <-> firewall
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
mathieu
On Mon, 16 Feb 2004 22:27:56 +0100, Jacques Caron wrote:
Salut Jacques
On Mon, 16 Feb 2004 14:14:08 +0100, mathieu wrote:
Network: 195.1.2.96/27
Je souhaite mettre en service un Pare-feu 3 cartes :
eth0 : 195.1.2.98 (net) 1 IP externe eth1 : 195.1.2.99 (dmz) X IP DMZ eth2 : 192.168.x.x (loc)
J'ai exclu le Nat et le Bridge pour retenir le Proxy-Arp
- faire du proxy arp (pouark).
Pourquoi c'est "pouark" ?
Il semble que c'est comme ça que les FireWall Boites comme watchgard s'en tirent pour gèrer n réseaux avec 3 cartes.
Et je n'ai pas vu dans les notices d'emballage des contres-indications.
Ciao' Mathieu
On Mon, 16 Feb 2004 22:27:56 +0100, Jacques Caron wrote:
Salut Jacques
On Mon, 16 Feb 2004 14:14:08 +0100, mathieu
<mollo@pasdejambon-bghflt.org> wrote:
Network: 195.1.2.96/27
Je souhaite mettre en service un Pare-feu 3 cartes :
eth0 : 195.1.2.98 (net) 1 IP externe
eth1 : 195.1.2.99 (dmz) X IP DMZ
eth2 : 192.168.x.x (loc)
J'ai exclu le Nat et le Bridge pour retenir le Proxy-Arp
- faire du proxy arp (pouark).
Pourquoi c'est "pouark" ?
Il semble que c'est comme ça que les FireWall Boites comme watchgard s'en
tirent pour gèrer n réseaux avec 3 cartes.
Et je n'ai pas vu dans les notices d'emballage des contres-indications.
On Mon, 16 Feb 2004 22:27:56 +0100, Jacques Caron wrote:
Salut Jacques
On Mon, 16 Feb 2004 14:14:08 +0100, mathieu wrote:
Network: 195.1.2.96/27
Je souhaite mettre en service un Pare-feu 3 cartes :
eth0 : 195.1.2.98 (net) 1 IP externe eth1 : 195.1.2.99 (dmz) X IP DMZ eth2 : 192.168.x.x (loc)
J'ai exclu le Nat et le Bridge pour retenir le Proxy-Arp
- faire du proxy arp (pouark).
Pourquoi c'est "pouark" ?
Il semble que c'est comme ça que les FireWall Boites comme watchgard s'en tirent pour gèrer n réseaux avec 3 cartes.
Et je n'ai pas vu dans les notices d'emballage des contres-indications.
Ciao' Mathieu
Jacques Caron
On Tue, 17 Feb 2004 13:37:27 +0100, mathieu wrote:
- faire du proxy arp (pouark).
Pourquoi c'est "pouark" ?
Parce qu'à la base, avoir le même réseau sur des réseaux différents, c'est comme qui dirait un peu contradictoire. Proxy ARP est un hack, ça rend service, mais ce n'est pas vraiment propre. Et le jour où on a des problèmes, ça ne facilite vraiment pas le debugging.
Il semble que c'est comme ça que les FireWall Boites comme watchgard s'en tirent pour gèrer n réseaux avec 3 cartes.
Je ne sais pas ce que font les autres, mais moi, 3 cartes = 3 réseaux (ou plus), et pas besoin de proxy ARP.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On Tue, 17 Feb 2004 13:37:27 +0100, mathieu <mollo@pasdejambon-bghflt.org>
wrote:
- faire du proxy arp (pouark).
Pourquoi c'est "pouark" ?
Parce qu'à la base, avoir le même réseau sur des réseaux différents, c'est
comme qui dirait un peu contradictoire. Proxy ARP est un hack, ça rend
service, mais ce n'est pas vraiment propre. Et le jour où on a des
problèmes, ça ne facilite vraiment pas le debugging.
Il semble que c'est comme ça que les FireWall Boites comme watchgard s'en
tirent pour gèrer n réseaux avec 3 cartes.
Je ne sais pas ce que font les autres, mais moi, 3 cartes = 3 réseaux (ou
plus), et pas besoin de proxy ARP.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Tue, 17 Feb 2004 13:37:27 +0100, mathieu wrote:
- faire du proxy arp (pouark).
Pourquoi c'est "pouark" ?
Parce qu'à la base, avoir le même réseau sur des réseaux différents, c'est comme qui dirait un peu contradictoire. Proxy ARP est un hack, ça rend service, mais ce n'est pas vraiment propre. Et le jour où on a des problèmes, ça ne facilite vraiment pas le debugging.
Il semble que c'est comme ça que les FireWall Boites comme watchgard s'en tirent pour gèrer n réseaux avec 3 cartes.
Je ne sais pas ce que font les autres, mais moi, 3 cartes = 3 réseaux (ou plus), et pas besoin de proxy ARP.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/