Salut
 
Je souhaiterais mettre en place un routeur qui permettrais:
 -à un réseau A de communiquer avec un réseau B (donc le réseau A voie le reseau B)
 - que le réseau B ne puisse acceder au réseau A
 
Donc en fait mon routage serais activer que dans un seul sens.
 
Je dois donc mettre 2adresses à mon routeur (ce qui me parais pas tres securise parce que si les utilisateurs du reseau B trouve l'adresse du routeur ils pourront acceder à l'autre reseau)  
Ou bien je peux adresser une seule adresse au routeur ce qui me permettrais d'aller dans un seul sens ( et ca je suis pas sur qu'on puisse)  
 
Voila si vous avez une idée
Merci

avec un routeur Linux, ce doit être faisable sans trop de problème tu autorises le forward dans un sens et pas dans l'autre voire pour  être encore + fin, tu autorises l'ouverture d'une connexion dans un sens, le retour des données par cette connexion mais pas l'ouverture de connexions dans l'autre sens.

Firewall qui autorise les accès sortants de A vers B, et refusant les connexions de B vers A ...

Ben heu le probleme c'est que si tu autorise le routage A vers B et pas de B vers A, les personne du réseau A pourra communiquer avec le B
 
Car une requête par exemple un ping du a vers b ca fait :
 
A------------------>B
     Requête
A<------------------B
 
     Réponse
 

Je connais pas trop Linux mais ce serais pas trop dur de comprendre la mise en place d'un routeur sous Linux?
Ce que tu appeles le forward c'est une sorte d'activation du routage? -> ceci n'est pas realisable sous 2000?
 
Je connais pas tres bien Linux comme je l'ai deja dis mais cet OS à plus de parametre reglable pour le routage que les Windows?
 
Sinon le Firewall me parait aussi une bonne solution.
 
Va falloir que j'etudie ces 2 cas de figures
 
Merci
 

Bien vu Deathk ma question était débile effectivement  
Merci

Un petit "bridge" pourrait répondre en partie à tes souhaits.
 
C'est toujours sous Linux, il faut activer certaines options du noyau et ensuite tu instal le tout sur le cable qui relie les deux réseaux.
 
Le gros avantage : tu ne donne aucune IP aux deux interfaces réseaux, donc, ping impossible.
 
Le hic : un peu plus compliquer à mettre en place.
 
Sinon, ici ou avec des IP sur tes interfaces, l'etablissement des règles Iptables est très exactement la même chose. Donc, tu pourra commencer en donnant des IP aux interfaces réseaux, et si tu veux passer à l'étape supérieure...
 
deathk> oui, mais sous tous les routeurs et en particuliers sous nux, tu reçois les réponses aux questions que tu as posé (si j'ai bien compris ta remarque).
 
Le passant.
 
Le passant.

Ce que tu souhaites faire est typiquement ce que fait un routeur configuré pour faire du NAT...

Je voie pas comment avec un pont je pourrais interdire à un réseau de communiquer avec l'autre    
 
Sinon sous Windows Deathk à raison l'echange d'un requete ne pourrais pas revenir , et d'apres le passant Linux le permet (va vraiment falloir que je m'y met à cet OS ch'vais partie de la triste generation Win  )
 
Guru souleve un point le serveur NAT que je ne connais pas tres bien non plus le fonctionnement
Encore un peu d'aide ca commence à pas mal m'aider tout ca
 
Merci

iptable, le firewall/routeur de Linux permet ed faire la chose suivante :
 
autoriser une nouvelle connexion de A vers B, (ex: demande de page web du client en A au serveur en B)
 
autoriser le retour des infos de cette connexion de B vers A (ex : transfert de page web depuis le serveur B vers le client A)
 
et en même temps interdire une nouvelle connexion de B vers A (ex : ping de B vers A)
 
Il me semble que ça s'appelle du STATEFUL mais j'en suis pas sur, en clair, ça signifie que le firewall/routeur va filtrer les paquets en fonction de ce qu'il vont faire (initier une connexion ou répondre à une existante)

 
C'est uniquement un problème de configuration, rien à voir avec l'OS...

BMenez > je suis d'accord, tout dépend du soft que tu utiliseras pour faire ça, je prends l'exemple de Linux parce que je le connais et que c'est intégré dans le noyau

 
Et est ce que c'est lourd à mettre en place? Pour un Newbee sous Linux!
Pour le firewall vous me conseilleriez lequel (gratuit de preference)?

Lourd : non pas vraiment puisque j'y suis arrivé en étant débutant.
Maintenant, ma configuration de firewall/routeur est très simple et un truc + compliqué nécessitera + de temps ( cf mon site, j'y donne mon script de config pour ma psserelle commenté, http://Mjules.free.fr )
Si tu veux un truc très complexe, ben c'est comme tout, il va falloir te plonger dans la Doc du firewall et de TCP/IP.
 
Iptable est inclus avec Linux qui peut être téléchargé gratuitement (il y a d'ailleurs des distributions dédiées au routage comme IPCop, E-smith...)
 
sous windows, je ne sais pas du tout

un exemple de tutorial :
http://lea-linux.org/reseau/iptables.php3

 
c'est exactement ça ...
 
Le routeur/Firewall peut etre configuré pour tout laisser passer dans le sens A->B , et ne laisser passer que les réponses aux requêtes dans le sens B->A !
 
Dans toute trame réseau, il y a un champs qui permet de savoir si la trame contient une question, ou une réponse ... Dans le cas d'une réponse, ce champs contient un "Flag ACK". Lorsque cette trame réseau est analysée par le firewall, le fait qu'il y ait un Flag ACK montre au firewall que la trame est une réponse à une connexion initiée dans le sens A->B et donc autorisée ...
 
Dans le cas d'une trame allant de B->A et contenant une "question", il n'y aura pas de Flag ACK, et donc la trame sera bloquée par le Firewall ...    
 
 

Merci mjules je commencais deja a chercher de la doc (jen cherche toujours d'ailleur)
Je vais essayer de mettre ca en place mais ca va pas etre evident deja se familiariser avec linux  
Je continue aussi sur le serveur NAT mais ce serai plutot sous 2000. Mais apparement ca permettrai de reduire le nombre d'adresse IP    Je comprend pas tres bien l'utilité

Il parait vraiment bien ce firewall sous Linux.
J'espere que je vais pouvoir arriver jusque la.
Dans le pire des cas y'a des Firewall sous Windows qui permettent cela?

FW1-NG le fait très bien mais ca coute $$$

J'ai pas vraiment les moyens pour acheter un firewall
Par contre mjules les liens que tu m'as filé dont ton site me semble pas trop approprié pour un newbee
Mais il est interessant et me permettra d'avancer pour ce projet

viens faire un tour dans la section OS alternatif, tu trouveras surement ton bonheur

Sur n'importe quel routeur qui se respect, il y a la fonction "ESTABLISHED" que l'on applique sur une règle ACL.
Y'a pas besoin de Firewall pour faire ca  

thelooser > ESTABLISHED est une fonction de firewall (plus exactement de filtrage, et des règles de filtrage constituent le Firewall).
Un routeur est un matériel qui contient des fonctions de firewall. Quand on dit Firewall, on parle du logiciel de filtrage, mais par extention c'est devenu la machine.
 
 
Fuel> le bridge ne te servira à rien pour le filtrage des packets, ce sont les règles de filtrages qui te seront utiles.
Après, le bridge te permet de placer le tout sur un ordinateur qui n'aura pas d'existence réelle sur le réseau (pas d'IP sur ce type de machine).
Et dans les fait, le fonctionnement sera le suivant :
B ----> A , ce sera comme si le cable est débranché
B <---- A , le cable est branché.
 
Je t'en parle, car tu ne voulais pas de ping possible de B vers A, j'avais traduit par, pas de ping sur l'interface qui va gérer le filtrage, voila c'est tout.
 
Le passant.

mjules -> Merci j'y manquerai pas    
 
thelooser -> t'as pas compris c'est pas un routeur que j'ai c'est un switch    cpagrav
 
le passant -> Donc si j'ai bien compris un pont suffirais a mon projet, je met en place un firewall en plus et sa devrai rouler.
Mais en fait je parlais de ping parce que pour moi si tu ping une machine ca veux dire que tu peux y acceder (dossier partager)! Non?
 

non, c'est un peu plus compliqué que ça, le ping (ICMP) n'est pas dans le même protocole que le web (TCP/IP) et même dans ce dernier , tu peux bloquer sélectivement des services particuliers (FTP, partage de fichier windows, mail, web, etc)
 
je te conseille la lecture de la rubrique réseau de ce site, en particulier les protocoles :
http://www.commentcamarche.net/

Merci mjules mais j'ai deja lu une bonne partie de la doc sur ce site (tres interessant d'ailleur)
Mais je vais aller voir la section OS Alternatif un peu aujourd'hui et essayer de trouer un peu doc qui pourrais m'aider (firewall, pont, routeur, linux pour les gros gros nul )

au fait, c'est pas tres compliqué,
 
dans un sens, tu autorise tout, dans l'autre tu filtre les requettes de connexions, donc les paquet tcp avec le flat syn.
c'est comme si, A c'est chez toi, et B c'est le net. donc, il reste plus qu'a faire les choses suivante:
 
eth0 ---- A  ---- 10.0.0.1/8
eth1 ----- B ------ 172.16.0.1/16
 
iptables -A INPUT -i eth1 --protocol tcp -m state --state ESTABLISHED -j ACCEPT
 
iptables -A OUTPUT -o eth1 --protocol tcp -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i eth0 -p tcp  --tcp-flags SYN -j DROP
iptables -A INPUT -i eth0 -p icmp  --icmp-type echo-request -j DROP
iptables -A INPUT -i eth0 -p icmp  --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp  --icmp-type echo-request -j ACCEPT
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
 
 
bon en gros koi, y a des trucs à améliorer ou corriger, tu vois un peu la philo du bordel.
 
 

dis, tu compte faire du ftp entre tes 2 lans??

J'étais en train de regarder www.firewall-net.com  c'est pas mal pour comparer les differentes configuration de firewall
 
Merci pour les commandes Linux si j'arrive jusqu'a la je crois quelle me seront assez precieuse
 
Non je ne compte pas mettre un FTP entre les 2 reseaux je souhaite seulement qu'un des reseaux est acces a l'autre  et que ce ne soit pas possible dans l'autre sens

ouf    
 
 
pas de ftp
 
tu m'a fait peur, c'aurai fait 8 linges de commande sup, et ca m'aurait fait chier. je les connais pas par coeur.
 
bon ben, amuse toi bien. si non ce que tu fais, tu pike un cisco à ton taf
 
 

 
Faudrais d'abord qu'ils veuillent bien en commander    
Mais en fait je sais toujours pas si je met en place un routeur ou un pont avec un firewall dans les 2 cas
Je peux mettre une machine qui fais office de routeur , je crois qu'on peut aussi faire un pont avec une machine mais je vois pas trop comment    
A mon avis comme pour le routeur faut les 2 cartes reseaux mais apres niveau config  
 
 

tu sais, un cisco normal c'est un 486 avec 16Mo MEM, voire moins, pour les modeles de base en rnis
 
tu peux foutre 5 eth dans un pc de merde genre DX33 ou DX266, apres ton linux il route aussi bien qu'un nortel de bas de gamme. y a que 2 lans, c'est rien, si ta 5 lans de 100 host chacun, la oui, vo mieux un routeur et des switches hiérarchisés. ton pc, tu le laisse tourner sous un buro, sans ecran, sans souris. et c'est parti pour 5 ans.

 
Pour le routeur la y'a pas de probleme mais c'est pour qu'il gere mon probleme de  
reseauA ->reseauB Oui
reseauB ->reseauA Non
Je crois que y'a des routeur qui font ca mais dans mon cas faudra toujours que j'installe un Firewall
 
Et pour un pont ca marcherai comment?

ben, je vois pas trop l'interet du bridging, tes problemes de filtrage se situent au nivo 3 ou 4, au nivo 2 tu seras obligé de laisser passer tout dans les 2 sens, puis, tu dois qd meme faire ton filtrage au nivo 3 ou 4, donc, le probleme n'est pas résolu pour autant, mais tu te fais iéche grave pour le pont par contre.

 
A ok donc un pont serais pas approprié pour ce que je veux faire je commencais a douter quand a mes connaissance entre routeur/pont
Donc Je vais creer un routeur (Linux ou Windows) et mettre en place un firewall
 
Je me suis un peu renseigner sur les firewalls et ZoneAlarm me parait pas mal (gratuit) ,mais il parle tous d'un filtrage LAN/Internet mais moi c'est LAN/LAN que je veux faire.
Ca ce configure de la meme maniere ou y'a que certain firewall qui le permettent?

non, ce que tu veux faire c'est trop baleze pour la plupart des soi disant fw sous 20doses. c'est qd meme un filtrage assez fin dans nivo des flags tcp, des services icmp, voire des filtrages par ranges ip si tu veux aller plus loin.
 
zonealarme ou autre esafe, sygate, t'offrent une assez bonne protection applicative/antivirale. une personnisation aussi fine au nivo protocolaire se fait sur un routeur ou un fw digne de ce nom. ces soft doivent qd meme savoir ce quest un paquet syn, ils savent matcher des atakes courantes, ils ont une liste des ports de cheval. l'ennui, ils saurainent aussi distinguer un range ip privé d'un range public. et comme tu filtre sur 2 ranges privés, ils sont d'une inutilité totale. d'ailleurs, ces fw individuels operent sur un mono poste, toi tu opere sur 2 int eth.  
 
les fw qui le permettent, et bien plein,
 
checkpoint, 25Kf,  
pix sur cisco 15Kf
iptables linux 0kf
 

Ok bha je crois que c'est partis pour du Linux et iptable j'espere que je vais pas trop galerer. (Un peu quand meme sinon c'est pas marrant )
RedHat c'est ca et faut une version assez recente parce que les anciennes version n'avaient pas IpTable si je ne m'abuse!
 
Quelques derniers conseils?
 
Vu que je sais ce que je veux faire je devrai tout de meme pouvoir realiser ca assez rapidement

toute version de moins de 2 ans à iptables (noyau 2.4 et on en est au 2.4.20)
 
de toute façon, vu ce que tu as à faire il te faut une distros très légère (donc en install minimal) et pourquoi pas une distribution spécial routeur/firewall comme E-smith ou IPcop ?

Ah ok
Je suis en train de voir pour les recuperer IPCop  
http://ipcop.org/cgi-bin/twiki/vie [...] Downloadfr
Il est pas tres volumineux mais apres y'a tous les correctifs et la ca commence a faire lourd
Faut voir si j'ai besoin de tous les avoir le fix2 me parait assez necessaire
 
Sinon E-Smith est plus volumineux 300Mo mais j'ai pas vu de correctif
ftp://ftp.fsn.hu/pub/CDROM-Images/e-smith/
Y'a meme bien plus sur ce FTP mais apres je ne saurais plus lequel choisir