configurer smoothwall

Forum de discution sur la distribution smoothwall de linux, dédiée à la mise en place de passerelles sécurisées.

Modérateur: modos Ixus

configurer smoothwall

Messagepar zepeto » 19 Fév 2009 17:35

Bonjour,
Je viens d'installer smoothwall 3.0 sur mon serveur ESX.
Je possède donc un réseau entièrement virtualisé sur lequel j'ai installer smoothwall en temps que passerelle entre mon serveur ESX et mon réseau réel.
Toutefois je désire paramétré mon smoothwall de maniére à ce que tous les flux entrant et sortant soit bloqué sauf pour un ordinateur sur http, https et ftp, je n'y arrive pas donc je m'en remet à vous.

précisions :
red (DHCP) + green(IP fixe)

Merci par avance pour votre aide, je reste disponible pour de plus amples informations.
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Messagepar jdh » 19 Fév 2009 18:33

Cette virtualisation du firewall est bien destinée à en évaluer la faisabilité ?

Je suppose que vous avez très bien compris que la place d'un firewall en production n'est surement pas d'être une VM.

Quelle est votre compréhension de cet enjeu très important ?

Combien d'interfaces physiques au serveur ESX ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar zepeto » 19 Fév 2009 20:31

Bonsoir et merci de votre intéressement.

Je vous explique plus clairement ma situation :
j'ai actuellement un réseau mis en place, auquel j'ai relié mon serveur ESX (2 interfaces réseau) sur lequel j'ai virtualisé mon serveur 2003 qui me sert de contrôleur de domaine et un serveur 2008 qui me sert de base de donnée ainsi que de wsus.
Ensuite, j'y ait rajouté quelque client et un smoothwall qui me sert de passerelle entre mon serveur ESX (ma partie virtuelle) et mon réseau réel qui est en place.
Toutefois, je n'arrive pas à paramétré le smoothwall pour qu'il bloque tous les flux entrant et sortant sauf se nécessaire à mon serveur windows 2008 pour mettre à jour wsus.
Sachant que pour avoir accès à internet je doit passer par mon réseau réelle qui lui possède un proxy.

Enfin, désolé si je manque de clarté mais n'hésitai pas à me redemandé.
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Messagepar jdh » 19 Fév 2009 20:40

- Quel est le contexte : Pro ou Perso ?

- Avez vous compris ce que j'écris sur la virtualisation ?

- Savez vous qu'ESX comporte des "switchs virtuels" ?

- Comment sont configurés les interfaces réseaux de chaque VM ?



Je le répète souvent : un problème bien posé est à moitié résolu !
Visiblement, vous indiquez des "briques". Mais où sont les câbles/liens ? (ces switchs virtuels !)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar zepeto » 19 Fév 2009 21:22

Cette mise en place est dans un optique professionnel.

Je précise :
j'ai un réseau auquel je rajoute un serveur ESX sur lequel j'ai virtualisé 2 serveurs windows (en IP fixe), des client XP (en DHCP) et un smoothwall en green (IP fixe) + red (DHCP).
_Green est relié à un switch virtuel qui relie mes serveurs et mes clients virtuelles.
_Red est relié à un autre switch virtuel qui permet d'atteindre le réseau réel.

Smoothwall sert de passerelle filtrante entre les 2 switch afin de permettre à mon réseau virtuel d'accéder à internet en passant par le réseau réel pour assurer les mise à jour de wsus.

Merci pour votre aide, je reste disponible pour plus d'informations.
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Messagepar jdh » 19 Fév 2009 23:16

Moi, en pro, je ne virtualise jamais les firewall.

Il m'est arrivé de le faire (pour test, faut-il le préciser ?). Mais comme je commence toujours par faire un schéma clair sur une feuille (avec tout ce qu'il faut : adressage ip, switch, règle des flux autorisés), je n'ai aucun mérite à réussir ces tests.


Il y a beaucoup de choses qui me paraissent tellement incertaines :
- "entièrement virtualisé" : je préfère entièrement opérationnel,
- "serveur ESX" vs "réseau réel" : un schéma ?,
- "tous les flux entrant et sortant soit bloqué" : ce n'est pas ce qui devrait être la base ? donc ce n'est pas un objectif !,
- "mon réseau réelle qui lui possède un proxy" : cela n'a aucune importance,
- plusieurs réponses mais toujours aucun schéma ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar zepeto » 20 Fév 2009 10:09

Bonjour,
Je vais te faire mon schéma sur support numérique afin que tu visualises mieux la situation.
Je te l'envoie le plus tôt possible.
Sinon concernant le filtrage j'ai appliqué c'est régles :
_ bloqués tous les flux entrant et sortant
_autorisé http, https et ftp pour mon serveur wsus ayant tel IP
Merci pour ton aide
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Messagepar zepeto » 20 Fév 2009 15:08

voici un lien vous permettant de récupérer mon schéma de mon réseau:

http://lh5.ggpht.com/_35FBXeX4-Kc/SZ6lA ... A9seau.jpg
Dernière édition par zepeto le 23 Fév 2009 16:24, édité 1 fois au total.
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Messagepar zepeto » 23 Fév 2009 10:05

Bonjour,
il y à quelqu'un qui saurait m'aider ou du moins m'orienter ?
Merci
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Messagepar jdh » 23 Fév 2009 12:05

Reseau.jpg et non Réseau.jpg !


Le schéma semble correct.

Moi, je commencerais pas vérifier que
- chaque machine se voit (par ping),
- le smoothwall reçoit une @ip,
- les règles sont correctes ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 23 Fév 2009 12:30

Le schéma me semble aussi globalement correct, mais il reste une question pour la mise en oeuvre. D'après le schéma l'interface RED de Smoothwall obtient une ip dans le même réseau que celui utilisé pour se connecter avec le client Vmware sur ESX, c'est à dire 192.168.1.0/24. Toujours d'après le schéma deux switchs virtuels ont été défini dans ESX. Il faudrait qu'il existe sur la machine ESX 3 cartes réseaux, dont une dédié à la connexion Vmware Infrastructure Client avec un switch virtuel séparé et dédié. A défaut la configuration n'est pas sûre et ne devrat pas être employée.

Il va de soi que je confirme les propos de Jdh : cette utilisation de Vmware ne peut se concevoir que pour des tests. La virtualisation du firewall n'est pas raisonnable, même sous ESX.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar zepeto » 23 Fév 2009 15:51

Merci de vos réponses.

_Concernant les test avec ping, tout fonctionne correctement sauf quand je veux pinger 192.168.1.217 de mon serveur 2008 (IP : 192.168.100.101) ?

_Ensuite, mon smoothwall posséde une IP fixe sur sa patte verte et le problème c'est que sur la patte rouge je l'ai mis en DHCP mais vu que le smoothwall ne fait partie d'aucun domaine, il de recevra aucune IP je ne c'est comment y remédié et je ne sais pas comment le mettre membre de mon domaine sous mon serveur 2003 ?

_De plus, je voudrais faire du NAT sur l'adresse rouge du smoothwall et l'adresse du serveur ESX et je n'y arrive pas, auriez vous une idée ?

_Enfin, mon serveur ESX possède seulement 2 interfaces réseaux; je me demandais est il possible de se passer du commutateur 0 sur mon schéma sachant qu'ESX à 2 cartes réseaux ?

Merci par avance pour votre aide, vos idées et orientations.
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Messagepar ccnet » 23 Fév 2009 16:03

_Ensuite, mon smoothwall posséde une IP fixe sur sa patte verte et le problème c'est que sur la patte rouge je l'ai mis en DHCP mais vu que le smoothwall ne fait partie d'aucun domaine, il de recevra aucune IP je ne c'est comment y remédié et je ne sais pas comment le mettre membre de mon domaine sous mon serveur 2003 ?

Nul besoin de faire partie d'un domaine Microsoft pour émettre un dhcp request et recevoir une réponse. Revoyez le fonctionnement de DHCP. Mettre une ip dynamique sur un firewall dans votre configuration est plutôt un danger qu'autre chose. A éviter autant que possible et à proscrire dans un cadre professionnel. Qu'est ce qui vous empêche de mettre une ip fixe sur l'interface RED ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar zepeto » 23 Fév 2009 16:21

Je peux passer la patte rouge de mon smoothwall en IP fixe s'en problème; faut il que smoothwall face partie de mon domaine de mon serveur 2003 ? Si c'est le cas savez vous comment intégrer smoothwall dans mon AD de serveur 2003 ?
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Messagepar zepeto » 25 Fév 2009 11:13

Bonjour,
Quelqu'un saurait pourquoi lorsque je vais sur mon smoothall, que je me place dans networking puis dans l'onglet outgoing, et que je met allowed with exceptions sans créer d'exceptions, pourquoi je n'est aucun accès internet ?
Merci par avance pour votre aide.
zepeto
Matelot
Matelot
 
Messages: 10
Inscrit le: 18 Fév 2009 09:59

Suivant

Retour vers Smoothwall

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron