Tout d'abord petite question : quand on a une passerelle avec 3 pattes et
que l'on souhaite introduire la fonctionalité de proxy-arp pour deux d'entre
elles, ce qui est échangé entre les deux cartes est quand même analysé par
netfilter ????
A l'heure actuelle, mon réseau (au boulot) est comme ça :
Internet
|
(193.x.x.76)
routeur
(192.168.0.1/24)
|
(192.168.0.2/24) __ serveur1
firewall debian(10.10.10.1/24)---dmz--| (10.10..10.2)
(192.168.1.1/24) --- serveur 2
|
(10.10.10.3)
(192.168.1.0/24)
LAN
Nous prenons un abonnement Oleane avec un sous-réseau de 8 adresses IP
disons de 64.165.5.40 à 64.165.5.47 avec un mask de 255.255.255.248.
Je souhaite mettre mes deux serveur de la DMZ en adressage public pour avoir
deux serveurs SMTP public dont un MX de secours (par exemple).
Après lecture, la fonction de proxy-arp me semble plus adaptée à mes besoins
que la division de mon subnet public en deux sous-reseaux (dites-moi si je
me trompe).
Je vais donc me retrouver avec un réseau de ce type :
Internet
|
(64.165.5.46)
routeur
(64.165.5.41)
|
(64.165.5.42) __ serveur1
firewall debian(64.165.5.42)---dmz--| (64.165.5.43)
(192.168.1.1/24) --- serveur 2
|
(64.165.5.44)
(192.168.1.0/24)
LAN
Les adresses publiques ayant un mask de 255.255.255.248
La patte Wan et Dmz du firewall ayant la même IP pour utiliser la fonction
proxy-arp.
Est-ce que cela est correct comme organisation ????
D'après les articles lus, avec cette solution, je dois juste modifier deux
routes sur le firewall pour rediriger correctement vers la patte interne du
routeur ou vers la Dmz.
Est-ce tout, y-a-t-il des pièges à éviter ????
Désolé, dans le graph, l'adresse IP du deuxième serveur de la DMZ a glissé au dessus de l'adresse du reseau Lan.
Samuel.
Samuel
Tout d'abord petite question : quand on a une passerelle avec 3 pattes et
que l'on souhaite introduire la fonctionalité de proxy-arp pour deux d'entre elles, ce qui est échangé entre les deux cartes est quand même analysé par netfilter ????
Oui.
Merci pour cette réponse, je suis rassuré sur ce point. Ce qui me fait 'peur', c'est que personne n'a répondu pour mon schéma. J'espère ne pas être à côté de la plaque. On verra bien ce week-end pour le premier test ... glurp
Merci. Samuel.
Tout d'abord petite question : quand on a une passerelle avec 3 pattes
et
que l'on souhaite introduire la fonctionalité de proxy-arp pour deux
d'entre elles, ce qui est échangé entre les deux cartes est quand même
analysé par netfilter ????
Oui.
Merci pour cette réponse, je suis rassuré sur ce point.
Ce qui me fait 'peur', c'est que personne n'a répondu pour mon schéma.
J'espère ne pas être à côté de la plaque.
On verra bien ce week-end pour le premier test ... glurp
Tout d'abord petite question : quand on a une passerelle avec 3 pattes et
que l'on souhaite introduire la fonctionalité de proxy-arp pour deux d'entre elles, ce qui est échangé entre les deux cartes est quand même analysé par netfilter ????
Oui.
Merci pour cette réponse, je suis rassuré sur ce point. Ce qui me fait 'peur', c'est que personne n'a répondu pour mon schéma. J'espère ne pas être à côté de la plaque. On verra bien ce week-end pour le premier test ... glurp
Merci. Samuel.
Samuel
Merci cette explication .... détaillée ..... Je vais suivre tes conseils et tester en premier le plus propre : le bridge.
Merci beaucoup. Samuel.
Merci cette explication .... détaillée .....
Je vais suivre tes conseils et tester en premier le plus propre : le bridge.
Merci cette explication .... détaillée ..... Je vais suivre tes conseils et tester en premier le plus propre : le bridge.
Merci beaucoup. Samuel.
Cyriac BENOIT
On Wed, 23 Jul 2003 19:21:07 +0200, Samuel wrote:
Bonjour,
Bonjour,
Tout d'abord petite question : quand on a une passerelle avec 3 pattes et que l'on souhaite introduire la fonctionalité de proxy-arp pour deux d'entre elles, ce qui est échangé entre les deux cartes est quand même analysé par netfilter ????
Oui, bien sûr. Mais je ne sais pas si tu peux te mettre en proxy-arp sur 2 pattes seulement... (longtempss que je ne m'en suis plus servi : mon firewall à 450 jours d'uptime... ;p)
Après lecture, la fonction de proxy-arp me semble plus adaptée à mes besoins que la division de mon subnet public en deux sous-reseaux (dites-moi si je me trompe).
Et bien j'ai eu pas mal de problème en proxy-arp en fait, surtout au niveau du routeur CISCO : lors de la mise en place du firewall, il nous a fallu redémarrer le routeur pour flusher son cache ARP...
Est-ce que cela est correct comme organisation ????
A priori oui (mais je dois avouer avoir lu en diaagonale...).
D'après les articles lus, avec cette solution, je dois juste modifier deux routes sur le firewall pour rediriger correctement vers la patte interne du routeur ou vers la Dmz. Est-ce tout, y-a-t-il des pièges à éviter ????
Les pièges à éviter ? Ne rien changer à la configuration des tes serveurs (les passerelles par défaut sera ton routeur, et pas ton firewall). Enfin, je te conseille pour toutes tes manipulations de route d'utiliser iproute (commande 'ip') plutôt que la commande 'route' standard.
On Wed, 23 Jul 2003 19:21:07 +0200, Samuel wrote:
Bonjour,
Bonjour,
Tout d'abord petite question : quand on a une passerelle avec 3 pattes et
que l'on souhaite introduire la fonctionalité de proxy-arp pour deux d'entre
elles, ce qui est échangé entre les deux cartes est quand même analysé par
netfilter ????
Oui, bien sûr.
Mais je ne sais pas si tu peux te mettre en proxy-arp sur 2 pattes
seulement... (longtempss que je ne m'en suis plus servi : mon firewall à
450 jours d'uptime... ;p)
Après lecture, la fonction de proxy-arp me semble plus adaptée à mes besoins
que la division de mon subnet public en deux sous-reseaux (dites-moi si je
me trompe).
Et bien j'ai eu pas mal de problème en proxy-arp en fait, surtout au
niveau du routeur CISCO : lors de la mise en place du firewall, il nous a
fallu redémarrer le routeur pour flusher son cache ARP...
Est-ce que cela est correct comme organisation ????
A priori oui (mais je dois avouer avoir lu en diaagonale...).
D'après les articles lus, avec cette solution, je dois juste modifier deux
routes sur le firewall pour rediriger correctement vers la patte interne du
routeur ou vers la Dmz.
Est-ce tout, y-a-t-il des pièges à éviter ????
Les pièges à éviter ? Ne rien changer à la configuration des tes serveurs
(les passerelles par défaut sera ton routeur, et pas ton firewall).
Enfin, je te conseille pour toutes tes manipulations de route d'utiliser
iproute (commande 'ip') plutôt que la commande 'route' standard.
Tout d'abord petite question : quand on a une passerelle avec 3 pattes et que l'on souhaite introduire la fonctionalité de proxy-arp pour deux d'entre elles, ce qui est échangé entre les deux cartes est quand même analysé par netfilter ????
Oui, bien sûr. Mais je ne sais pas si tu peux te mettre en proxy-arp sur 2 pattes seulement... (longtempss que je ne m'en suis plus servi : mon firewall à 450 jours d'uptime... ;p)
Après lecture, la fonction de proxy-arp me semble plus adaptée à mes besoins que la division de mon subnet public en deux sous-reseaux (dites-moi si je me trompe).
Et bien j'ai eu pas mal de problème en proxy-arp en fait, surtout au niveau du routeur CISCO : lors de la mise en place du firewall, il nous a fallu redémarrer le routeur pour flusher son cache ARP...
Est-ce que cela est correct comme organisation ????
A priori oui (mais je dois avouer avoir lu en diaagonale...).
D'après les articles lus, avec cette solution, je dois juste modifier deux routes sur le firewall pour rediriger correctement vers la patte interne du routeur ou vers la Dmz. Est-ce tout, y-a-t-il des pièges à éviter ????
Les pièges à éviter ? Ne rien changer à la configuration des tes serveurs (les passerelles par défaut sera ton routeur, et pas ton firewall). Enfin, je te conseille pour toutes tes manipulations de route d'utiliser iproute (commande 'ip') plutôt que la commande 'route' standard.
Samuel
Les pièges à éviter ? Ne rien changer à la configuration des tes serveurs (les passerelles par défaut sera ton routeur, et pas ton firewall). Enfin, je te conseille pour toutes tes manipulations de route d'utiliser iproute (commande 'ip') plutôt que la commande 'route' standard.
Salut et merci pour les conseils supplémentaires,
De toute manière, je vais essayer de tester toutes les solutions sur une passerelle de test avant.
Merci. Samuel.
Les pièges à éviter ? Ne rien changer à la configuration des tes serveurs
(les passerelles par défaut sera ton routeur, et pas ton firewall).
Enfin, je te conseille pour toutes tes manipulations de route d'utiliser
iproute (commande 'ip') plutôt que la commande 'route' standard.
Salut et merci pour les conseils supplémentaires,
De toute manière, je vais essayer de tester toutes les solutions sur une
passerelle de test avant.
Les pièges à éviter ? Ne rien changer à la configuration des tes serveurs (les passerelles par défaut sera ton routeur, et pas ton firewall). Enfin, je te conseille pour toutes tes manipulations de route d'utiliser iproute (commande 'ip') plutôt que la commande 'route' standard.
Salut et merci pour les conseils supplémentaires,
De toute manière, je vais essayer de tester toutes les solutions sur une passerelle de test avant.
