Montage d'un firewall logiciel

merci pour ta réponse Lessaid, peux tu me dire la différence entre
sous-réseau physique et logique?.

J'ai lu quelques sections sur le site que tu m'as donné, je vais tenter
l'experience OpenBSD. J'ai lu que OpenBSD peut faire la translation
d'adresses (NAT)... il pourrai devenir le serveur du réseau, mais est ce que
un p200 32 mo suffirait? (NAT, DNS, DHCP, Firewall)

sinon le pont ip comme tu cites, c ce qu'il me fo :D,
A la place de Winroute, que me proposes tu? (j'ai déjà essayer Wingate, mais
déçu par ses performances)

Tony


"lessaid" <lessaidNO@SPAMlessaid.org> a écrit dans le message de
news:3f410403$0$26854$626a54ce@news.free.fr...

Bonjour,
Salut Tony

Que faut-t-il pour monter un firewall logiciel entre deux sous-réseaux?
(là

où y'a marqué Firewall) 2 cartes réseaux? faut - il changer quelque
chose

dans la configuration des clients pour qu'ils puissent accèder à
Internet?

Tu parle de Sous-réseau alors que tout tes client sont dans la même range
d'ip
(192.168.0.2 Lionel et 192.168.0.5 Sandrine).
Dans le cas où ton expression de sous-réseau est purement materiel:
Il faudra bien un Firewall qui dispose bien de 2 cartes réseaux:
1 carte relié au switch et une carte relié a ton linksys.
Mantenant pour le firewall, moi perso j'ai déja instalé
le Fw PF (Packet Filter )sous OpenBSD, et il est pas mal
tourne tres bien sur un P100 32mo et peut même etre installé sans avoir
d'ip

( un espece de Pont IP ).
Pour plus d'info sur sa configuration :
www.openbsd-edu.net
Tu peut alors authoriser les services selon leur protocole et leur port
par exemple le port 80 en TCP pour le Web
53 en UDP pour le DNS

n'oublie pas de laisser passer le broatcast pour les requettes DHCP (JR).

Pour de ce qui est la configuration de tes client, tu ne change rien
( ta bien mis la passerelle par défaut 192.168.0.1 et les serveur DNS de
ton

ISP )

PS: Winroute te bouffe 25% de la bande passante

Maintenant si ton sous-réseau est au niveau logique, ca sent le relay-DHCP
et routage
mais ca c une autre histoire.

Merci, Tony
De rien

www.groupe-tdr.fr

--
Lessaid.org #x Plomeur, kel week end !!!

On Tue, 19 Aug 2003 22:09:03 +0200, TotoBest wrote:

merci pour ta réponse Lessaid, peux tu me dire la différence entre
sous-réseau physique et logique?.

Un sous-reseau physique, c'est ce qui separe un ou plusieurs ordinateurs
entre eux materielement, entre 2 locaux par exemples.

Un sous-reseau logique se situe au niveau de la configuration des adresses
ip et de leur masque de sous reseau.
Par exemples les ordinateur A qui ont comme adresses ip 192.168.0.x ne
peuvent pas comuniquer avec les ordinateur B qui ont comme ip 192.168.1.x
(avec le meme masque de sous reseau 255.255.255.0).
On utilise un Routeur qui permet de faire communiquer les ordniateur A & B
entre eux (Le routeur sert a dot truc ....)

J'ai lu quelques sections sur le site que tu m'as donné, je vais tenter
l'experience OpenBSD.
Bonne itiative :-)

J'ai lu que OpenBSD peut faire la translation
d'adresses (NAT)... il pourrai devenir le serveur du réseau, mais est ce que
un p200 32 mo suffirait? (NAT, DNS, DHCP, Firewall)
Oui bien sur, le proc n'est pas trop utilise' au niveau

des traitenement des paquets mais met de bonnes cartes reseaux.
-ya les drivers du alcatel speedtouch sur sf.net
Utilise :
-Bind 9.2.2
-Pf fait office de 3 fonction :
1) Firewall
2) Nat ( depuis la 3.2 )
3) AltQ* ( depuis la 3.3 )
* Permet de limiter la bande passante en up

sinon le pont ip comme tu cites, c ce qu'il me fo :D,
Oui c extra ca, j'ai bleufe' les jury de mon BTS a coup de Brconfig L0L.

A la place de Winroute, que me proposes tu? (j'ai déjà essayer Wingate, mais
déçu par ses performances)
Franchement je ne peut pad trop t'aider de ce cote la, mais une box avec

squid ( sous OpenBSD bien sur :0))) ) serais pas mal.

A vrai dire cela depend de ce que tu veux faire avec tes postes,
Nat + Fw invisble en laissant passer que le web
Squid si tu veut faire de la restriction au niveau des adresses

Tony

--
Lessaid.org #x ...

"Lessaid" <lesaid@lessaid.org> wrote in
news:pan.2003.08.19.22.21.30.752725@lessaid.org:

J'ai lu quelques sections sur le site que tu m'as donné, je vais
tenter l'experience OpenBSD.
Bonne itiative :-)

c'est clair, meme si perso je suis plutot linuxien ;)

par contre j'espere que Toto a de solides notions en environement unix,
sinon il va ramer pour configurer son système !

J'ai lu que OpenBSD peut faire la translation
d'adresses (NAT)... il pourrai devenir le serveur du réseau, mais est
ce que un p200 32 mo suffirait? (NAT, DNS, DHCP, Firewall)

la puissance cpu est largement suffisante, par contre 32Mo risquent d'etre
juste... faudrait pouvoir pousser a 64Mo, voire 128... (pas pour le fw,
mais pour le serveur dns)

sinon le pont ip comme tu cites, c ce qu'il me fo :D,
Oui c extra ca, j'ai bleufe' les jury de mon BTS a coup de Brconfig

L0L.

A la place de Winroute, que me proposes tu? (j'ai déjà essayer
Wingate, mais déçu par ses performances)
Franchement je ne peut pad trop t'aider de ce cote la, mais une box

avec squid ( sous OpenBSD bien sur :0))) ) serais pas mal.

pour un proxy vraiment performant squid est effectivement un bon choix, par

contre la machine sur laquelle il va tourner doit etre un minimum véloce,
et largement pourvue en mémoire (128Mo mini)

Mais quitte a remodeler le reseau, perso je monterai une passerelle/routeur
a 3 pattes :
- un patte Internet (via modem adsl)
- un patte reseau filaire
- une patte reseau wifi
et les services squid/bind/samba
la raison pour laquelle je rajoute samba : avoir sur le réseau une machine
qui fasse office de serveur wins afin d'assurer la resolution de noms
netbios entre les sous reseaux... (et eventuellement, faire office de
serveur de fichiers, tant qu'on y est)

Niveau sécurité, c'est pas l'idéal (beacoup de services sur une meme
machine) mais etant donné des circonstances, je pense que c'est une
solution partique et viable pour Toto ;)

--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/

non, j'ai pas de 'solide' base de unix, mais il faut ke je commence à
travailler dessus, car dès septembre je vais devoir bosser sur cette os.

merci pour ta réponse Lessaid, peux tu me dire la différence entre
sous-réseau physique et logique?.

J'ai lu quelques sections sur le site que tu m'as donné, je vais tenter
l'experience OpenBSD. J'ai lu que OpenBSD peut faire la translation
d'adresses (NAT)... il pourrai devenir le serveur du réseau, mais est ce que
un p200 32 mo suffirait? (NAT, DNS, DHCP, Firewall)

J'ai un P75 avec 32 MB de RAM, 10 GB de DD, et il fait routeur filtrant
(deux interfaces ethernet, deux interfaces série, quatre tunnels
chiffrés), avec monitoring par SNMP, serveur www (dont stats MRTG), ftp,
mail, irc privé, et j'en passe. Et :

[lalet@galois lalet]$ uptime
11:04AM up 37 days, 15:14, 1 user, load averages: 0.54, 0.23, 0.12

Pour l'uptime, c'est la faute de EDF (153 jours et pof !), mais ce qui
est intéressant, c'est les load averages, assez bas. Certes, en cas de
sollicitation plus grande des services, elle monte un peu, mais cela ne
ralentit jamais (en tout cas pas sensiblement) le routage (ni ping, ni
débit, malgrés une connexion très rapide). Ah, j'oubliais, elle fait du
NAT (dans les deux sens) avec pool d'adresses pour la sortie, et possède
plusieurs adresses externes qui permettent de solliciter ses services
depuis une même machine sur plusieurs adresses différentes (équivalent
du routage par adresse source que j'obtiens sous GNU/Linux avec
iproute2, obtennu sous OpenBSD avec pf, aka packet filter, le firewall
d'OpenBSD).

Donc OpenBSD est un bon choix (en plus, pf est excellent et très
simple), et ta machine est même un peu trop puissante ;-)

Pierre

--
Pierre LALET
Elève ingénieur -- ENSEIRB
lalet@enseirb.fr -- http://www.enseirb/~lalet
clé publique PGP : http://www.enseirb.fr/~lalet/pubkey

<troll_a_2_balles>
Linux, c'est mieux, netfilter c'est d'la balle ! ;)
</troll_a_2_balles>

#usermod -c 'shell a la con'-s /usr/local/bin/troll lessaid
Openbsd Rulez && pfctl powa !
Ta deja essayer OpenBSD ?
Ta regarde' sur zone-h kel est l'os le plus owne' ?
Tu trouves normal qu'il y a plus de BufferOverFlow que d'utilisateur ?
j'ai utilise' debian mais c pas comparable. c OM/PSG (s8 pr l'OM).
quand tu regardes les regles de pf, mon neveu de 7 ans comprend les regles
et peut meme en ajouter !!
pf a une syntaxe simple et efficace, tout comme l'os .
essaye le et tu vas l'adopter car il le vaut bien l0l.
si linux c'est mieux, OpenBSD, c'est encore mieux,
et si netfilter c d'la balle, pf c'est de la bombe.
On touch poa a mon OpenBSD,
#usermod -c 'mon shell' -s /bin/ksh lessaid

--
Lessaid.org #ebg13 Yvahk p ovra BcraOFQ p rapber zvrhk

Pierre LALET <lalet@enseirb.fr> wrote in news:bhvfbg$jkm$1@news.u-
bordeaux.fr:

J'ai un P75 avec 32 MB de RAM, 10 GB de DD, et il fait routeur filtrant
(deux interfaces ethernet, deux interfaces série, quatre tunnels
chiffrés), avec monitoring par SNMP, serveur www (dont stats MRTG), ftp,
mail, irc privé, et j'en passe. Et :

[lalet@galois lalet]$ uptime
11:04AM up 37 days, 15:14, 1 user, load averages: 0.54, 0.23, 0.12

Le load average de signifie pas grand chose. Par exemple j'ai un client qui
a un serveur web dont le load average ressemble à 0.00, 0.00, 0.00 et
pourtant, aux périodes de pointe, le graphe d'utilisation CPU est bien
chargé (serveur DELL PE2450 bi P3/800 avec linux 2.4 et apache 1.3)

Pareil pour squid ; quand personne ne surfe ca va, mais si toute la boite
se met en meme temps su le web, l'occupation CPU monte en fleche !

Bref, dans ta config, mis a part les tunnels chiffrés qui doivent être
consommateurs de cpu, et éventuellement ton firewall (selon la complexité
de tes regles) il n'y a pas de service gros consommateur de cpu et de
mémoire tel que proxy, sgbdr, ou serveur web exécutant du cgi... Ta machine
est donc bien dimmentionée, mais elle le serait sans doute moins aevc squid
au cul, et ne serait-ce que 10 utilisateurs derriere ;)

Donc OpenBSD est un bon choix (en plus, pf est excellent et très
simple), et ta machine est même un peu trop puissante ;-)

<troll_a_2_balles>
Linux, c'est mieux, netfilter c'est d'la balle ! ;)
</troll_a_2_balles>

--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/

Le load average de signifie pas grand chose. Par exemple j'ai un client qui
a un serveur web dont le load average ressemble à 0.00, 0.00, 0.00 et
pourtant, aux périodes de pointe, le graphe d'utilisation CPU est bien
chargé (serveur DELL PE2450 bi P3/800 avec linux 2.4 et apache 1.3)

Pareil pour squid ; quand personne ne surfe ca va, mais si toute la boite
se met en meme temps su le web, l'occupation CPU monte en fleche !

Bref, dans ta config, mis a part les tunnels chiffrés qui doivent être
consommateurs de cpu, et éventuellement ton firewall (selon la complexité
de tes regles) il n'y a pas de service gros consommateur de cpu et de
mémoire tel que proxy, sgbdr, ou serveur web exécutant du cgi... Ta machine
est donc bien dimmentionée, mais elle le serait sans doute moins aevc squid
au cul, et ne serait-ce que 10 utilisateurs derriere ;)

Merci pour le load average, j'ignorais que ce n'était pas très
significatif. La charge CPU monte un peu à cause de MRTG (qui bouffe pas
mal, d'ailleurs). Le firewall compte 58 règles (dont presque toutes avec
états, niveaux 3 et 4, avec comme je l'ai dit les règles pour le routage
par adresses sources), plus les 14 règles de NAT / RDR

<troll_a_2_balles>
Linux, c'est mieux, netfilter c'est d'la balle ! ;)
</troll_a_2_balles>

<TROLL TYPE="a deux balles mais j'argumente un peu">
Au niveau perf, je pense que pour de petites applications, c'est très
largement comparable. Mais pour un fw, je préfère la rigueur d'OpenBSD,
qui me semble moins souple, mais du coup plus 'propre'. Et puis je
préfère largement le fichier de conf /etc/pf.conf, et la syntaxe.
<TROLL>

Pierre


--
Pierre LALET
Elève ingénieur -- ENSEIRB
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
clé publique PGP : http://www.enseirb.fr/~lalet/pubkey

"Lessaid" <lesaid@lessaid.org> wrote in
news:pan.2003.08.20.10.54.21.333418@lessaid.org:

#usermod -c 'shell a la con'-s /usr/local/bin/troll lessaid
Openbsd Rulez && pfctl powa !
Ta deja essayer OpenBSD ?
Ta regarde' sur zone-h kel est l'os le plus owne' ?
Tu trouves normal qu'il y a plus de BufferOverFlow que d'utilisateur ?
j'ai utilise' debian mais c pas comparable. c OM/PSG (s8 pr l'OM).
quand tu regardes les regles de pf, mon neveu de 7 ans comprend les
regles et peut meme en ajouter !!
pf a une syntaxe simple et efficace, tout comme l'os .
essaye le et tu vas l'adopter car il le vaut bien l0l.
si linux c'est mieux, OpenBSD, c'est encore mieux,
et si netfilter c d'la balle, pf c'est de la bombe.
On touch poa a mon OpenBSD,
#usermod -c 'mon shell' -s /bin/ksh lessaid

non, j'ai pas d'experience sur OpenBSD, mais sur FreeBSD... par contre,

j'ai jamais regardé pf donc je m'abstiendrai d'en parler ;)
Pour ce qui est de la syntaxe de pf par rapport a iptables, perso je trouve
iptables limpide... peut pf l'est-il encore plus... perso pour mes regles
de fw, j'ai mis au point un systeme de scripts "a moi" qui ressemble au
modèle rc.d et qui me permet de modulariser mes regles tres facilement !

--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/

lessaid@linuxmail.org (lessaid Abderrahman) wrote in
news:f12bb2a4.0308211301.20051704@posting.google.com:

Si tu l'installe, j'aimerais avoir tes impression, surtout au niveau Fw

bon, j'ai installé dans une vmware : l'install s'est bien passé, sauf que

j'ai eu un peu de mal avec les concepts de partitionnement de openBSD
(notament avec /dev/hdc qui _doit_ rester non alloué car il représente le
disque dur complet !)
apres, j'en ai chier pour virer cette *£%# de csh, et mettre bash a la
place (j'avais édité directement /etc/passwd, mais ca marche mieux avec
vipw ;))

Sinon, j'ai bien aimé les ports empruntés à FreeBSD (bien que je n'ai pas
réussi à compiler le port de mc pour une raison non encore identifiée)

Je vais l'installer maintenant sur une vraie machine, pour tester le fw.
Mais j'ai déja entendu tellement de bien de pf que je ne doute pas de ses
quailtés ;)

Pour conclure, passer à BSD quand on connait Linux, c'est un peu comme
installer une nouvelle version de Windows : c'est différent, mais c'est
pareil !

--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/