IPCOP - placer deux interfaces vertes

[jdseig35fr]

IPCOP - placer deux interfaces vertes

Bonjour,

Sur IPCop ou SmoothWall dernière version (2008-05-29)

Je cherche à placer sur un IPCop (solution aussi intéressante si c'est un Smoothwall) [dernière version pour chaque] 3 cartes réseaux éthernet comme suit:

- une interface rouge en PPPoE
et
- DEUX (2) interfaces VERTE au lieu d'une seule.
La DMZ ne m'intéresse pas.

Avez-vous la possibilité de m'aider.
Je n'ai pas encore trouvez la solution sur Google ou dans les forum

Merci par avance.

[jdh]

Comme tu as recherché sur ce forum avant de poser cette question (enfin au moins normalement), tu as pu lire qu'IPCOP n'est pas vraiment prévu pour. On peut même dire qu'IPCOP n'est pas vraiment prévu pour autre chose que Red (1 @ip)+Green+[Orange en option]+[Blue en option] (et encore plutôt avec un AP).

Une des difficultés essentielles est que le script de firewall et tous les addons doivent être adaptés à cette modification assez fondamentale.

Orange est typiquement prévu comme DMZ mais pourrait fonctionner comme une Green, à ceci près que ni dns ni dhcp est fourni, et que Squid n'est pas configuré pour gérer cette zone ...

Il y a néanmoins quelques pistes sur le forum ... A explorer, car rien n'est impossible ...



(Hors sujet : il y a une alternative qui gère mieux le "multi-zones", mais est peut-être plus complexe et a peut-être moins d'addons, c'est pfSense. Cela exige d'abandonner Linux et iptables ...)

[Gesp]

Il doit bien exister un add-on orange as green mais je ne sais pas trop ce qu'il fait et surtout comment il est mis à jour en fonction des évolutions d'IPCop.
Je ne conseillerais pas trop cette solution.

Par contre, il est peut-être possible de configurer 2 vlans qui vont séparer la même interface physique en 2 réseaux logiques différents.

[ccnet]

Selon ce que vous attendez de la gestion de deux réseaux internes (deux Green), je ne suis pas certain que vous y trouviez votre compte avec des solutions plus ou moins en dehors des spécifications d'ipcop.
Pour caricaturer, car nous n'en sommes pas tout à fait là, j'utilise un marteau pour planter un clou et un tournevis pour une vis. Je déconseille le marteau pour poser une vis, même si cela s'est déjà vu.

[Franki973]

Bonjour,

Regardez dans le forum, le sujet "Utiliser Bleu sans Wifi", je pense que cela devrait vous convenir.

[Billou02]

Salut a tous

il y a un ad-don au nom de EXTRA INTERFACE qui existe
il permettra peut être de répondre a ta question

lien : http://www.ban-solms.de/t/IPCop-xtiface.html

[m2nis]

Bleu est beaucoup plus facile à faire fonctionner comme vert qu'orange car l'interface propose aussi le dns et dhcp. Avec BOT, l'utilisation de bleu comme vert est même facile.

[t2net]

Si tu as des machines (il ne faut pas des ordis super évolués) tu mets 2 IPCOP
Rouge vert
Rouge vert

(je tourne avec 7 IPcop !!!)

[t2net]

ah oui mince, j'ai oublié de dire qu'en rouge je ne suis pas directement sur internet, j'ai des adresses privées et pas publiques donc je peux avoir autant d'interfaces rouge que je veux...

[ccnet]

Ce qui est a peu près contraire aux règles élémentaires en matière de sécurité réseau.
Lorsque l'on a ce genre de besoin (qui sont parfois tout à fait légitimes) on utilise les outils appropriés.

[Gesp]

ah oui mince, j'ai oublié de dire qu'en rouge je ne suis pas directement sur internet, j'ai des adresses privées et pas publiques donc je peux avoir autant d'interfaces rouge que je veux...

Ce qui est a peu près contraire aux règles élémentaires en matière de sécurité réseau.
Lorsque l'on a ce genre de besoin (qui sont parfois tout à fait légitimes) on utilise les outils appropriés

Je ne vois pas quel problème de sécurité peut être créé d'avoir différents segments séparés par différents firewall.
Quel problème cela peut-il poser à part pour créer des VPN?

[ccnet]

Ce que j'ai compris c'est qu'il était non pas "à la suite", et dans ce cas je n'y vois pas de problème, mais en parallele sur plusieurs connexions internet et alimentant, par plusieurs interfaces vertes, le même réseau interne.

[jdh]

Je comprends très bien ccnet.

Quand on a 6, 7, 8 zones distinctes, que l'on est capable de parfaitement définir les flux entre chacune de ces zones, il y a des solutions intéressantes.

Par exemple, plutôt que de multiplier les machines, une machine avec plusieurs cartes multiports est quand même largement plus économe en énergie.

IPCOP n'est pas vraiment multi-zones, comme l'était MNF, ou comme l'est aujourd'hui pfSense.

Les américains parle, au sujet d'un firewall, de SPOF (Single Point Of Failure). Mais quand on aligne 7 IPCOP, la "failure" est plutôt dans la connaissance et l'identification de quelle machine fait quoi, non ?



J'imagine que l'entreprise doit avoir un réseau extrêmement complexe pour avoir besoin de 7 IPCOP (Red+Green), ce qui fait 1 Red unique et 7 Green différents. J'ai du mal à me représenter.

[t2net]

Retour d'expérience :

Sans rentrer dans les détails :
il s'agit d'un Lycée avec un découpage en plusieurs réseaux et en tête de réseau une passerelle autre qu'ipcop (Amon) pour les accès internet et vpn, rectorat oblige.

Pourquoi avoir réalisé plusieurs réseaux ?
un par secteur pour les rendre autonomes et indépendants et limiter les intrusion d'un secteur à l'autre

Une solution multiport ?
pourquoi pas (Ipcop avec plusieurs interfaces vertes m'aurait intéressé) mais pour un coût voisin de 0 avec du matériel de récup plusieurs ipcop répartis géographiquement dans plusieurs bâtiments règlent le pb et évite de dépendre d'une seule machine.

Quel service d'Ipcop ?
le DHCP pour chaque réseau, proxy cache, filtrage, limitation bande passante, logs installation rapide et maîtrise facile

Quelle architecture ?
pas aussi compliquée que ça : un backbone ou sont connectés les interface rouges des ipcop

Fiabilité ?
ça fait 8 ans que ça tourne, les seuls problèmes sont dus à des coupures de courant sur des ipcop sans onduleurs

[ccnet]

Je vais me faire l'avocat du diable, et sans vous dire que cela ne marche pas (je serai mal venu puisque vous gérer ce réseau et cela vous donne satisfaction), je ne partage pas totalement votre enthousiasme pour ce genre de solution. Je m'en explique.

Sur la nécessité d'avoir de multiples sous réseaux ou réseaux, il n'y a pas de discussion bien évidement.

Solutions multiport. Il y en a qui le font pour un le même prix qu'ipcop. La répartion dans plusieurs bâtiments est pour moi plus un inconvénient qu'un avantage sur le plan de la sécurité. Il faut assurer la sécurité physique de x machines sensible par définition. Multiplication des possibilités d'intrusions et des coûts pour protéger ces machines.

Dhcp et autres sur de multiples sous réseaux, ce sont bien sur des solutions disponibles sur les solutions qui prétendent gérer plusieurs LAN.

Je suis d'accord sur la relative absence de complexité de l'architecture mais elle porte en elle même deux problèmes majeurs selon moi. Impossibilité de disposer d'une administration globale d'une vision globale des règles de sécurité qui sont mises en place. Et, deuxième handicap, la parfaite superposition obligatoire du découpage physique (un bâtiment = un sous réseau) avec l'organisation logique (une même fonction ou service ou autre = un sous réseau). Je jour ou un même service est éclaté dans deux bâtiment que faisons nous ?

Sur la fiabilité nous savons qu'ipcop vaut celle des machines sur lesquelles il tourne. Pour ma part je préfère un seul firewall gérant tout le trafic avec un solution de redondance plutot que n firewall. Là, la redondance = nombre de réseau x2 machines. Pas réaliste.
Enfin un patch critique = n mises à jour.

Une telle configuration est rédhibitoire dès lors qu'il s'agit d'obtenir une quelconque habilitation de sécurité.

Mon propos est de donner un éclairage contradictoire, sans dénigrer votre configuration. Disposant d'arguments pour et contre chacun peut ensuite faire son choix en fonction de ses priorités.