OVH Cloud OVH Cloud

Routeur, ADSL et firewall

11 réponses
Avatar
Simon
Salut,

Nous avons au bureau une ligne adsl, partagé grâce à un routeur loué
chez notre FAI.

Je suis en train d'installer un firewall pour filtrer cette connexion.
J'ai opté pour une distribution Linux Mandrake MultiNetworkFirewall.
J'ai installé ce firewall sur mon réseau, il utilisera les services
DHCP, Squid, DNS Cache, détection d'intrusion et eventuellement VPN.
Bref, la porte d'entrée blindé du réseau.

Cependant, si tout marche théoriquement, j'ai un problème de câblage. En
effet, je pense que ce filtre n'est utile que s'il est physiquement
placé entre le routeur et la baie de brassage du réseau.

Or je ne parviens pas à réaliser ce cablage. Si je plugge le Routeur
(Cisco 1401) en sortie sur la carte du PC qui sert d'interface WAN, soit
je n'obtiens pas de connexion (les voyants des cartes sont éteints) soit
j'en obtiens une avec un cable croisé, mais pas de connexion.

VOici mes questions :

La solution la plus logique ne serait-elle pas de virer le Cisco et
utiliser le Mandrake MNF comme routeur (en lui indiquant les paramètres
de connexion ADSL) ?

Est-il nécessaire de placer le firewall à la situation que j'indique (il
me semble qu'on pourrait le mettre n'importe où sur le réseau, en
l'utilisant comme passerelle, mais cela n'offrirait qu'une maigre
sécurité et en sortie seulement) ?

Ou bien peut-on brancher en série un routeur Cisco et l'interface
Ethernet du PC qui abrite le Mandrakle ?

Suis-je clair ?

Cordialement et merci
Simon



--
En espérant que,

Simon
Remove _spam to reply directly

10 réponses

1 2
Avatar
Lucien-Henry
Je ne comprends pas une chose dans ta config.
Tu branches ton modem sur une prise "internet" de ton routeur.
Tu branches la première carte réseau de ton pc ou ta MNF est installée sur la seconde pris
e de ton routeur
Tu branche la seconde carte réseau sur un switch
Et tous les autres pc sur ce switch

La carte réseau 1 est en DHCP pour le routeur qui fait du NAT ... première sécurité

Et tu masquerade ton réseau 192.168.0.x sur la seconde carte réseau (seconde sécurité) ...
ça devrait passer.

des câbles simples suffisent.

Dans ton exposé on a l'impression que tu n'emploies qu'une seule carte réseau sur le pc
dédié FW / squid ?

sur mon routeur, il est soit possible de se connecter dessus directement en DHCP (un
WRT54G il fait serveur DHCP), soit d'arrêter le DHCP et de laisser la connexion partagée
par un pc et le tout branché sur le switch. J'ai choisi le NAT du router et DHCP (bon
c'est chez moi), mais si tu veux interposer ton pc dédié entre le réseau et le net, il te
faut 2 cartes réseaux branchées dessus.

Mais peux-tu nous préciser tes branchements là ?
Avatar
Simon
In article <bj0cpf$3mf$, lucien-
says...

J'ai bien deux cartes réseau sur le MNF :

ADSL ---- Modem ---- Routeur ---- eth0 |MNF| eth1 --- SWITCH LAN :

Mais je n'ai pas de traffic entre {Routeur ---- eth0 |MNF| } : le
routeur, à l'initialisation, ne reconnait pas la carte eth0 comme point
d'entrée au réseau. Ca ne fonctionne que si je plugge directement le
routeur sur le switch LAN.

eth1 est également l'interface DHCP et tous les PC ou MAc en interne
reçoivent une adresse dynamique.

Je me demande si la configuration du routeur Cisco permet au MNF de
dialoguer avec lui ?


Mais peux-tu nous préciser tes branchements là ?




--
En espérant que,

Simon
Remove _spam to reply directly

Avatar
Xam
"Simon" a utilisé son clavier pour écrire :
In article <bj0cpf$3mf$, lucien-
says...

J'ai bien deux cartes réseau sur le MNF :

ADSL ---- Modem ---- Routeur ---- eth0 |MNF| eth1 --- SWITCH LAN :

Mais je n'ai pas de traffic entre {Routeur ---- eth0 |MNF| } : le
routeur, à l'initialisation, ne reconnait pas la carte eth0 comme point
d'entrée au réseau. Ca ne fonctionne que si je plugge directement le
routeur sur le switch LAN.

eth1 est également l'interface DHCP et tous les PC ou MAc en interne
reçoivent une adresse dynamique.

Je me demande si la configuration du routeur Cisco permet au MNF de
dialoguer avec lui ?



Truc bête : tu t'es pas planté dans les câbles droits - croisés par
hasard ?

Avatar
Simon
In article ,
says...
"Simon" a utilisé son clavier pour écrire :
In article <bj0cpf$3mf$, lucien-
says...

J'ai bien deux cartes réseau sur le MNF :

ADSL ---- Modem ---- Routeur ---- eth0 |MNF| eth1 --- SWITCH LAN :

Mais je n'ai pas de traffic entre {Routeur ---- eth0 |MNF| } : le
routeur, à l'initialisation, ne reconnait pas la carte eth0 comme point
d'entrée au réseau. Ca ne fonctionne que si je plugge directement le
routeur sur le switch LAN.

eth1 est également l'interface DHCP et tous les PC ou MAc en interne
reçoivent une adresse dynamique.

Je me demande si la configuration du routeur Cisco permet au MNF de
dialoguer avec lui ?



Truc bête : tu t'es pas planté dans les câbles droits - croisés par
hasard ?




Je pense pas... je vais vérifier. Mais a priori, tout le monde me dit

que ça devrait marcher alors ? Pas de raison pour le Firewall ne puisse
fonctionner avec le Cisco ?

Mais cela sert-il à quelque chose d'avoir un routeur + un firewall ?


--
En espérant que,

Simon
Remove _spam to reply directly


Avatar
merlin
Simon wrote:


Salut,

Nous avons au bureau une ligne adsl, partagé grâce à un routeur loué
chez notre FAI.

Je suis en train d'installer un firewall pour filtrer cette connexion.
J'ai opté pour une distribution Linux Mandrake MultiNetworkFirewall.
J'ai installé ce firewall sur mon réseau, il utilisera les services
DHCP, Squid, DNS Cache, détection d'intrusion et eventuellement VPN.
Bref, la porte d'entrée blindé du réseau.

Cependant, si tout marche théoriquement, j'ai un problème de câblage. En
effet, je pense que ce filtre n'est utile que s'il est physiquement
placé entre le routeur et la baie de brassage du réseau.

Or je ne parviens pas à réaliser ce cablage. Si je plugge le Routeur
(Cisco 1401) en sortie sur la carte du PC qui sert d'interface WAN, soit
je n'obtiens pas de connexion (les voyants des cartes sont éteints) soit
j'en obtiens une avec un cable croisé, mais pas de connexion.

VOici mes questions :

La solution la plus logique ne serait-elle pas de virer le Cisco et
utiliser le Mandrake MNF comme routeur (en lui indiquant les paramètres
de connexion ADSL) ?



c'est faisable

Est-il nécessaire de placer le firewall à la situation que j'indique (il
me semble qu'on pourrait le mettre n'importe où sur le réseau, en
l'utilisant comme passerelle, mais cela n'offrirait qu'une maigre
sécurité et en sortie seulement) ?



a priori la position physique importe peu

Ou bien peut-on brancher en série un routeur Cisco et l'interface
Ethernet du PC qui abrite le Mandrakle ?



sur ethernet ou est pas en "serie" mais en bus.
Suis-je clair ?

Cordialement et merci
Simon





--
Don't pay the Bill / Broke the Gates.

Avatar
Lucien-Henry
Mais cela sert-il à quelque chose d'avoir un routeur + un firewall ?


Au pif, ... certainement.
En fonction de ce qui est codé dans le routeur tu peux avoir de bons
outils de filtrages, de logs. J'ai un routeur qui tourne avec un kernel
2.4.5, et il en fait carrément plus que certains routeurs cisco avec OS
proprio, paramétrables par un telnet. Maintenant ce sont de vrais petits
pcs.
Mais ce ne sera jamais aussi fin qu'un pc qui peu enregistrer les logs
sur une longue durée.

Avatar
Simon
In article <bj4kmv$f3r$, lucien-
says...
Mais cela sert-il à quelque chose d'avoir un routeur + un firewall ?


Au pif, ... certainement.
En fonction de ce qui est codé dans le routeur tu peux avoir de bons
outils de filtrages, de logs. J'ai un routeur qui tourne avec un kernel
2.4.5, et il en fait carrément plus que certains routeurs cisco avec OS
proprio, paramétrables par un telnet. Maintenant ce sont de vrais petits
pcs.
Mais ce ne sera jamais aussi fin qu'un pc qui peu enregistrer les logs
sur une longue durée.


Je vais essayer de garder les deux, mais j'ai encore essayé : si je

plugge avec un cable normal le routeur CISCO 1401 sur l'interface
Ethernet de la machine firewall, point de trafic et point de lumière
verte qui dit que le cable est branché.

Que je branche ce même cable entre le Cisco et un switch de la baie de
brassage, et pouf ça marche.

Il faut donc bien un cable croisé pour faire cette liaison Cisco :---:
Firewall ?

Quelqu"un doit bien savoir ?

--
En espérant que,

Simon
Remove _spam to reply directly


Avatar
Christophe G
Il faut donc bien un cable croisé pour faire cette liaison Cisco :---:
Firewall ?

je dirais que oui.

par contre vu ton shcéma j'ai un p'tit doute.. est tu sur que les adresses
ip sont ok entre ton routeur et ETH0 ?
ton routeur te sort vraisemblablement qqchose du genre 192.168.0.1, non ?
Dans ce cas eth0 à placer en 192.168.0.2, vérifier les masques idem sur les
2
et puis pour eth1, c'est fonction de ta plage d'adressage locale.
efin je me gourre peut etre, mais chez moi c comme cela que ca fonctionne
avec un Sun Cobalt Qube qui fait la meme chose que la boiboite que tu veux
faire.

Christophe G.

Avatar
Simon
In article <bj4qsr$ulb$,
says...
Il faut donc bien un cable croisé pour faire cette liaison Cisco :---:
Firewall ?

je dirais que oui.

par contre vu ton shcéma j'ai un p'tit doute.. est tu sur que les adresses
ip sont ok entre ton routeur et ETH0 ?
ton routeur te sort vraisemblablement qqchose du genre 192.168.0.1, non ?
Dans ce cas eth0 à placer en 192.168.0.2, vérifier les masques idem sur les
2
et puis pour eth1, c'est fonction de ta plage d'adressage locale.
efin je me gourre peut etre, mais chez moi c comme cela que ca fonctionne
avec un Sun Cobalt Qube qui fait la meme chose que la boiboite que tu veux
faire.

Christophe G.





Le routeur de mon FAI est 192.168.0.54 (c'etait ma passerelle dans le
temps) et l'ip de eth0 est 192.168.0.8 et eth1 est 192.168.0.6 (ma
nouvelle passerelle).

Cohérent ?

Ou bien il me manque une clé de compréhension ?


--
En espérant que,

Simon
Remove _spam to reply directly


Avatar
christophe g
Le routeur de mon FAI est 192.168.0.54 (c'etait ma passerelle dans le
temps) et l'ip de eth0 est 192.168.0.8 et eth1 est 192.168.0.6 (ma
nouvelle passerelle).

Cohérent ?

Ou bien il me manque une clé de compréhension ?

Je suis pas un super spécialiste réseau, mais ton installation me semble un

peu foireuse...
si ton masque de sous reseau est 255.255.255.0, tu n'as aucune possibilité
de faire du NAT pour protéger ton réseau au niveau du firewall.
Je te proposerais plutot, sur la base de l'install chez moi qui marche :

routeur (192.168.0.54) -------------- (192.168.0.8) eth0 eth1 (
192.168.1.8) -----------------------> reseau local en 192.168.1.xx

masque 255.255.255.0

passerelle des pc : 192.168.1.8

tu fais du NAT sur ta boiboite entre eth0 et eth1, eventuellement du port
forwarding et ainsi de suite...
Si je me trompe pas, au niveau de ton CISCO, tu devrais aussi définir
l'adresse vers laquelle tu rediriges tout..en tout cas Oleane me demande
cela a chaque fois qu'on bouge un truc au niveau de notre
routeur/firewall/nat/antivirus/...
il faudrait dire au cisco de tout envoyer à eth0, cad 192.168.0.8

il y aurau surement un meilleur spécialiste que moi pour te confirmer tout
cela, mais je peux t'assurer qu'avec un install comme je te decris la, chez
nous ca marche, et on a environ 50 PC derrière une netissimo 2

Salut.
Christophe

1 2