User Tools

Site Tools


pages:serveurs:passerelle

Installer une Passerelle/Bastion

Cette machine est la 'gateway' et le 'Firewall' de notre réseau

J'ai choisi la distribution GNU/Linux Ipcop , la documentation est ICI en Français

Comme dit sur cette page que vous devez lire pour suivre l'installation, on defini 4 Interfaces réseau possible, rouge,organge,vert,bleu

  • Interface réseau ROUGE

Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le but premier d'IPCop est de protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE. Votre méthode de connexion et votre matériel actuel serviront à la connexion à ce réseau.

  • Interface réseau VERTE

Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

  • Interface réseau BLEUE

Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accèder au réseau VERT sauf par le biais d'oeilletons ( « pinholes » ) volontairement établis, ou par le biais d'un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

  • Interface réseau ORANGE

Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n'établissiez volontairement un oeilleton ( « DMZ pinholes » ). Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Vous aurez besoin d'au moins un câble Ethernet et une carte d'interface réseau. Dans la configuration la plus complète et dans le cas d'une connexion à Internet par Ethernet, pas moins de quatre cartes seront nécessaires.

Chaque carte réseau correspond à une carte physique à insérer dans la machine IPCop.

Vous devez donc prévoir une carte et un câble réseau pour chacun des réseaux VERT, BLEU et/ou ORANGE de votre future configuration. Les réseaux VERT et ROUGE sont obligatoires. Les réseaux ORANGE et BLEU sont optionnels. Les besoins pour l'interface du réseau ROUGE dépendent du type de votre connexion à l'Internet. Le réseau ROUGE peut nécessiter une carte réseau Ethernet et un câble supplémentaires.

Le reseau ORANGE peut servir aussi comme DMZ 'Zone Dé-militarisée' ou placer des pc d'un lieu publique, qui seront donc separés de votre réseau local, un peu comme pour la zone BLEU.

Structure du réseau

Ipcop installé, l'accès d'Internet aux différentes machines et services se fait en jouant avec la configuration des ports. Vue d'Internet l'adresse IP est unique, ce sont les ports addressés qui vont être reconnus par Ipcop, celui-ci transferera les informations alors sur une IP interne tel qu'on le definiera.

Par exemple , le site web, par convention le port des informations www est le 80 pour ce service (http); il faut donc faire un transfert de port de tout ce qui arrive en 80 sur Ipcop vers l'IP du serveur interne SME sur la DMZ en port 80.

Nous fairons de même pour 443=hhtps, ftp=21, IMAP=143, 110=pop etc..

ce qui donne une partie des parametres chez moi :

TCP DEFAULT IP : 20(FTP-DATA)- 192.168.0.3 : 20(FTP-DATA) 	  	
TCP DEFAULT IP : 21(FTP)     - 192.168.0.3 : 21(FTP) 	  	
TCP DEFAULT IP : 25(SMTP)    - 192.168.0.3 : 25(SMTP) 	  	
TCP DEFAULT IP : 80(HTTP)    - 192.168.0.3 : 80(HTTP)  web serveur 	
TCP DEFAULT IP : 110(POP3)   - 192.168.0.3 : 110(POP3) 	  	
TCP DEFAULT IP : 143(IMAP)   - 192.168.0.3 : 143(IMAP) 	  	
TCP DEFAULT IP : 443(HTTPS)  - 192.168.0.3 : 443(HTTPS) 	  	
TCP DEFAULT IP : 993(IMAPS)  - 192.168.0.3 : 993(IMAPS) 	  	
	
TCP DEFAULT IP : 5902 - 192.168.0.9   : 5902    vncserver pour machine stream2 	
TCP DEFAULT IP : 7100 - 192.168.0.3   : 22(SSH) entree ssh sur truc 	
TCP DEFAULT IP : 7102 - 192.168.1.2   : 22(SSH) entree ssh sur bidule
TCP DEFAULT IP : 8000 - 192.168.0.99  : 8000    port de stream 1
pages/serveurs/passerelle.txt · Last modified: 2015/08/30 22:55 by 127.0.0.1