iptable, et machine qui fait QUE firewall

iptable, et machine qui fait QUE firewall - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 26-06-2006 à 21:51:41    

Salut a tout, j'essaie de me monter une machine qui ne ferait plus que firewall.
Donc dessus il va y avoir pppoe et iptable d'installé, et en fait, ca va quasiment s'arrêter la.  
Pour tout le reste, j'ai une autre machine qui ne fera que serveur. Pas d'apache, pas de connerie comme ca sur le serveur, tout est sur l'autre.
Vous allez me dire facile. Et c'est pas faut, mais la ou j'ai un petit probleme, c'est que je veux pas faire une vraie DMZ. La machine enquestion, qui fait serveur, se trouve dans le LAN ou sont connectes les clients (en tout cas pour l'instant, parce que comme elle fait DHCP, et qu'il n'est pas question de mettre dhcpd sur le FW, j'ai pas encoer envie de jouer avec le dhcp-relay, vu comme je misère pour l'instant).
Donc pour les connexions depuis l'exterieur, ca va, je devrais pouvoir m'en sortir (meme si j'ai pas de shell exterieur pour tester, si qu'un veut me créer un compte temporaire, je suis preneur ;) ).
Par contre, j'ai un petit probleme pour voir en interne comme ca se passe.
mon FW a deux IP: 192.168.0.1 pour le LAN et 1.2.3.4 fournie par mon provider.
mon nom de domaine renvoie bien sur vers 1.2.3.4
 
si un pc en interne essaie de joindre le FQDN d'internet, comment ca va se passer ?? il va etre pris en charge par la meme regle ou pas ?? il y arau pas des problemes vu que clients et serveurs sont sur le meme segment ??
C'est un peu flou pour moi a ce niveau j'avoue ...
 
Si je suis pas clair, merci de me demander de préciser.
 
PS: aussi, si vous avez des sites ultimes pour iptables ..

Reply

Marsh Posté le 26-06-2006 à 21:51:41   

Reply

Marsh Posté le 27-06-2006 à 01:19:18    

bon, bah ca avance dans la resolution: la solution simple, c'est de mettre la machine dans une dmz, comme ca le routage fait tout.
La solution pour que ca fonctionne comme ca, c'est de commencer par DNATer, puis SNATer également pour que le serveur renvoie ses paquets vers la passerelle ...
C'est vicieux, mais ca fonctionne

Reply

Marsh Posté le 27-06-2006 à 02:24:12    

bon, bah je me repond:  
au vu du bordel que représente la mise en place du doule natting pour faire fonctionner le bouzin, et parce que dans ce cas on perd tout intérêt du proxy, a savoir le filtrage et les stats (tout semble venir de la meme adresse IP), l'installation et la configuration de dhcp-relay sur le firewall est encoreplus facile.

Reply

Marsh Posté le 27-06-2006 à 09:21:46    

et ipcop ?

Reply

Marsh Posté le 27-06-2006 à 10:59:51    

euh ... je préfère tout faire a la mano
L'intérêt pour moi, c'est de bien maitriser le bouzin. Et je doute qu'IPCop permette de résoudre simplement ce problème a la con...
Mais bon, c'est pas grave, ce matin, je rajoute une carte réseau, et jme fait une dmz..
 
 
edit: et pour ceux qui tomberaient un jour sur ce topic, je confirme qu'installer DHCP-RELAY est super simple, qu'il n'y a rien a configurer, et que du coup, avec une DMZ, mais si les regles sont un peu plus chiantes a configurer, tu peux faire moultes choses en plus


Message édité par trictrac le 27-06-2006 à 14:27:30
Reply

Marsh Posté le 28-06-2006 à 21:31:46    

Bonjour, il me semble qu'avec la fedora il existe un utilitaire de routage et un parfeux, je ne sais pas si ca t'avance beaucoup mais bon...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed