Redirection ADSL ou SDSL

classic Classic list List threaded Threaded
14 messages Options
Reply | Threaded
Open this post in threaded view
|

Redirection ADSL ou SDSL

Ronan DILY
Bonjour la liste,



J'ai dernièrement installé un parefeu, tout fonctionne correctement, le NAT, les redirections... par une ligne ADSL Orange Pro.

J'étais dans l'attente d'une ligne SDSL, qui est arrivée en fin de semaine dernière.

Mon but est donc de rediriger le trafic des serveurs (plage d'adresse de 192.168.1.200 à 192.168.1.254) sur la ligne SDSL et de laisser tous les postes de travail accéder à Internet par la ligne ADSL.



Dans PF j'ai configuré la NAT comme ceci :



match out on $adsl from $client to any nat-to $adsl

match out on $sdsl from $serveur to any nat-to $sdsl

match out on $lan from any to $client nat-to $adsl

match out on $lan from any to $serveur nat-to $sdsl



Je n'ai pas de DMZ. Mes serveurs sont accessible via l'adresse IP publique de la ligne SDSL.

Le problème que je rencontre dans mes tests, c'est avec la route par défaut.

Quand je suis dans le réseau $client avec la route par défaut qui pointe vers le routeur ADSL => OK.

Quand je suis dans le réseau $client avec la route par défaut qui pointe vers le routeur SDSL => Pas OK.

Quand je suis dans le réseau $serveur avec la route par défaut qui pointe vers le routeur ADSL => Pas OK.

Quand je suis dans le réseau $serveur avec la route par défaut qui pointe vers le routeur SDSL => OK.



J'ai envisagé d'installé un proxy sur mon BSD, en configurant les navigateurs des clients pour qu'ils passent par l'ADSL et laisser le chemin de sorti par défaut vers la SDSL. Mais cela ne me convient pas tout à fait. Je voudrais que les clients n'ai en aucun cas accès à la SDSL, que ce soit en http, en FTP ou n'importe quel autre protocole. Inversement pour les serveurs.

Je sèche un peu à ce stade, si vous avez quelques idées à partager, n'hésitez pas ;)



Merci,

Ronan.

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Philippe Schwarz
Le 07/09/2011 10:46, Ronan DILY a écrit :
> Bonjour la liste,
>
..
Bonjour,


1.$client et $serveur sont séparés par un routeur ? du NAT ?

2.Les deux lignes arrivent sur le même routeur ?

>Mes serveurs sont accessible via l'adresse IP publique de la ligne >SDSL.
3.Donc retour à la question 1.

4. IPv4 only ? (simple confirmation, ça semble être le cas)


Bref,
un tout petit schéma de l'architecture serait utile, avec des route -n
show depuis les clients, serveurs, routeurs,...
Un peu d'informations quoi ;-)

A+

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

RE: Redirection ADSL ou SDSL

Ronan DILY
> 1.$client et $serveur sont séparés par un routeur ? du NAT ?
Dans le même réseau (192.168.1.0/24). Je n'ai pas de DMZ pour une raison stupide, ma machine ne peut pas avoir plus de 3 cartes réseaux (une de base + 2 port pci libre...).

> 2.Les deux lignes arrivent sur le même routeur ?
Chaque à un routeur différent.

> 4. IPv4 only ? (simple confirmation, ça semble être le cas)
IPv4 only ;)

> Bref,
> un tout petit schéma de l'architecture serait utile, avec des route -n
> show depuis les clients, serveurs, routeurs,...

Voici un schéma très simplifié de mon réseau : http://img690.imageshack.us/img690/7483/schmatheo.png
Tous les clients et les serveurs on comme passerelle par défaut 192.168.1.1, qui correspond à l'adresse côté LAN du parefeu.
Le résultat de la commande netstat -rnf inet sur le parefeu :

Destination        Gateway            Flags   Refs      Use   Mtu  Prio Iface
default            192.168.3.2        UGS        0    14556     -     8 re2
127/8              127.0.0.1          UGRS       0        0 33200     8 lo0
127.0.0.1          127.0.0.1          UH         0        0 33200     4 lo0
192.168.1/24       link#1             UC         1        0     -     4 re0
192.168.1.199      00:25:64:53:27:bc  UHLc       1    16311     -     4 re0
192.168.2/24       link#2             C          0        0     -     4 re1
192.168.2.2        00:14:6c:6a:6f:61  UHLc       1        0     -     4 re1
192.168.3/24       link#3             UC         1        0     -     4 re2
192.168.3.2        00:0c:42:82:76:d1  UHLc       1        0     -     4 re2


__________ Information provenant d'ESET NOD32 Antivirus, version de la base des signatures de virus 5175 (20100605) __________

Le message a été vérifié par ESET NOD32 Antivirus.

http://www.eset.com


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Denis Fondras
In reply to this post by Ronan DILY
Bonjour,

Regarde du côté du mot clé "route-to".

Denis


Le 07/09/2011 10:46, Ronan DILY a écrit :

> Bonjour la liste,
>
>
> Mon but est donc de rediriger le trafic des serveurs (plage d'adresse de 192.168.1.200 à 192.168.1.254) sur la ligne SDSL et de laisser tous les postes de travail accéder à Internet par la ligne ADSL.
>
>
>
> Dans PF j'ai configuré la NAT comme ceci :
>
>
>
> match out on $adsl from $client to any nat-to $adsl
>
> match out on $sdsl from $serveur to any nat-to $sdsl
>
> match out on $lan from any to $client nat-to $adsl
>
> match out on $lan from any to $serveur nat-to $sdsl
>
>
>
> Je n'ai pas de DMZ. Mes serveurs sont accessible via l'adresse IP publique de la ligne SDSL.
>
> Le problème que je rencontre dans mes tests, c'est avec la route par défaut.
>
> Quand je suis dans le réseau $client avec la route par défaut qui pointe vers le routeur ADSL =>  OK.
>
> Quand je suis dans le réseau $client avec la route par défaut qui pointe vers le routeur SDSL =>  Pas OK.
>
> Quand je suis dans le réseau $serveur avec la route par défaut qui pointe vers le routeur ADSL =>  Pas OK.
>
> Quand je suis dans le réseau $serveur avec la route par défaut qui pointe vers le routeur SDSL =>  OK.
>
>
>
> J'ai envisagé d'installé un proxy sur mon BSD, en configurant les navigateurs des clients pour qu'ils passent par l'ADSL et laisser le chemin de sorti par défaut vers la SDSL. Mais cela ne me convient pas tout à fait. Je voudrais que les clients n'ai en aucun cas accès à la SDSL, que ce soit en http, en FTP ou n'importe quel autre protocole. Inversement pour les serveurs.
>
> Je sèche un peu à ce stade, si vous avez quelques idées à partager, n'hésitez pas ;)
>
>
>
> Merci,
>
> Ronan.
>
>


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Philippe Schwarz
In reply to this post by Ronan DILY
Le 07/09/2011 11:33, Ronan DILY a écrit :
>> 1.$client et $serveur sont séparés par un routeur ? du NAT ?
> Dans le même réseau (192.168.1.0/24). Je n'ai pas de DMZ pour une raison stupide, ma machine ne peut pas avoir plus de 3 cartes réseaux (une de base + 2 port pci libre...).
Euh..
pci dual ethernet sur ebay donne plusieurs réponses à tarif très doux..

Moi, je ne lancerai vraiment pas dans une archi dans laquelle la
séparation des réseaux repose exclusivement sur du subneting... Y'a pas
de VLAN dans l'histoire ??

>
>> 2.Les deux lignes arrivent sur le même routeur ?
> Chaque à un routeur différent.
OK

>
>> 4. IPv4 only ? (simple confirmation, ça semble être le cas)
> IPv4 only ;)
Ben vi!

>
>> Bref,
>> un tout petit schéma de l'architecture serait utile, avec des route -n
>> show depuis les clients, serveurs, routeurs,...
>
> Voici un schéma très simplifié de mon réseau : http://img690.imageshack.us/img690/7483/schmatheo.png
> Tous les clients et les serveurs on comme passerelle par défaut 192.168.1.1, qui correspond à l'adresse côté LAN du parefeu.
> Le résultat de la commande netstat -rnf inet sur le parefeu :
>
> Destination        Gateway            Flags   Refs      Use   Mtu  Prio Iface
> default            192.168.3.2        UGS        0    14556     -     8 re2
> 127/8              127.0.0.1          UGRS       0        0 33200     8 lo0
> 127.0.0.1          127.0.0.1          UH         0        0 33200     4 lo0
> 192.168.1/24       link#1             UC         1        0     -     4 re0
> 192.168.1.199      00:25:64:53:27:bc  UHLc       1    16311     -     4 re0
> 192.168.2/24       link#2             C          0        0     -     4 re1
> 192.168.2.2        00:14:6c:6a:6f:61  UHLc       1        0     -     4 re1
> 192.168.3/24       link#3             UC         1        0     -     4 re2
> 192.168.3.2        00:0c:42:82:76:d1  UHLc       1        0     -     4 re2
>
>
Comme le dit Denis F. et ce lien autopromotionnel :
http://www.openbsd-edu.net/index.php/Agregation_de_lignes_ADSL#Gestion_des_IP

Il faut utiliser la directive route-to

Mais je maintiens que je ne trouve pas cette archi rassurante :
- peu sécurisée en cas de compromission d'une machine cliente comme serveur
- peu résistante aux pannes (SPOF/routeur, panne de FAI...)

- Règles de PF complexes à valider, car trop d'interfaces (à titre perso
j'essaye de ne pas dépasser 3 NIC; au delà les risques de boulette
augmentent considérablement, amhe..)

Bon courage.

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Nicolas Bernard-2
In reply to this post by Ronan DILY
Ronan DILY([hidden email])@2011.09.07 09:33:17 +0000 wrote:
> > 1.$client et $serveur sont séparés par un routeur ? du NAT ?
> Dans le même réseau (192.168.1.0/24). Je n'ai pas de DMZ pour une
> raison stupide, ma machine ne peut pas avoir plus de 3 cartes réseaux
> (une de base + 2 port pci libre...).

Salut,

Pour info, il y a des cartes PCI avec 2 ou 4 ports ethernet (distinct,
pas un switch intégré). Les Soekris lan1xx1 par exemple.

Cordialement,
N.


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Mathieu Blanc
In reply to this post by Ronan DILY
Le 07/09/2011 11:33, Ronan DILY a écrit :
>> 1.$client et $serveur sont séparés par un routeur ? du NAT ?
> Dans le même réseau (192.168.1.0/24). Je n'ai pas de DMZ pour une raison stupide, ma machine ne peut pas avoir plus de 3 cartes réseaux (une de base + 2 port pci libre...).

Si ton switch supporte le 802.1Q, tu peux créer des interfaces vlan sur
ton OpenBSD, pas besoin de carte supplémentaire.

--
Mathieu

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

fjacopin
Les VLANs n'apportent pas autant que le câblage physique séparé dans un
cas comme ça.
Dans le premier cas, une attaque genre saut de VLAN suffit pour qu'une
direction du flux arrive à passer malgré les règles PF. Le problème peut
donc provenir du switch *et* de l'OpenBSD.
Dans le second cas, le trafic arrive nécessairement sur une autre
interface physique, et un switch raccordé sur une autre interface
réseau n'aura pas grande influence sur ce qu'il se passe sur ladite
première interface réseau. Cela limite donc le problème à la machine
OpenBSD (si l'on omet toutes les autres possibilités de compromission).

Sinon, pourquoi faire du NAT avec une archi comme ça ? Ça implique de
faire du double NAT, ce qui est doublement affreux par rapport au NAT
(qui est lui-même déjà affreux), puisqu'il y a du NAT sur le PF et du
NAT sur chaque routeur xDSL.
Comme l'a dit un autre participant de cette liste, route-to (et
reply-to) seront certainement de meilleur usage ici. Si mes souvenirs
sont bons, il y a même un exemple d'utilisation dans la FAQ de PF.

En espérant avoir aidé.


On Wed, Sep 07, 2011 at 11:59:24AM +0200, Mathieu BLANC wrote :

> Le 07/09/2011 11:33, Ronan DILY a écrit :
> >>1.$client et $serveur sont séparés par un routeur ? du NAT ?
> >Dans le même réseau (192.168.1.0/24). Je n'ai pas de DMZ pour une raison stupide, ma machine ne peut pas avoir plus de 3 cartes réseaux (une de base + 2 port pci libre...).
>
> Si ton switch supporte le 802.1Q, tu peux créer des interfaces vlan
> sur ton OpenBSD, pas besoin de carte supplémentaire.
>
> --
> Mathieu
>


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

RE: Redirection ADSL ou SDSL

Ronan DILY
Merci à tous, j'ai matière à explorer avec ce que vous m'avez dit.
Je vais revoir certaines choses en effet, vos propositions sont plus simples que ce que j'essayais de faire, l'expérience surement ;)

A bientôt.
Ronan.


__________ Information provenant d'ESET NOD32 Antivirus, version de la base des signatures de virus 5175 (20100605) __________

Le message a été vérifié par ESET NOD32 Antivirus.

http://www.eset.com

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Mattieu Baptiste-2
In reply to this post by fjacopin
2011/9/7 F. J. <[hidden email]>:

> Les VLANs n'apportent pas autant que le câblage physique séparé dans un
> cas comme ça.
> Dans le premier cas, une attaque genre saut de VLAN suffit pour qu'une
> direction du flux arrive à passer malgré les règles PF. Le problème peut
> donc provenir du switch *et* de l'OpenBSD.
> Dans le second cas, le trafic arrive nécessairement sur une autre
> interface physique, et un switch raccordé sur une autre interface
> réseau n'aura pas grande influence sur ce qu'il se passe sur ladite
> première interface réseau. Cela limite donc le problème à la machine
> OpenBSD (si l'on omet toutes les autres possibilités de compromission).

Oui enfin sur un switch récent, et correctement configuré, ça fait un
bon paquet d'années que ce genre d'attaques ne fonctionne plus.


>
> Sinon, pourquoi faire du NAT avec une archi comme ça ? Ça implique de
> faire du double NAT, ce qui est doublement affreux par rapport au NAT
> (qui est lui-même déjà affreux), puisqu'il y a du NAT sur le PF et du
> NAT sur chaque routeur xDSL.
> Comme l'a dit un autre participant de cette liste, route-to (et
> reply-to) seront certainement de meilleur usage ici. Si mes souvenirs
> sont bons, il y a même un exemple d'utilisation dans la FAQ de PF.
>
> En espérant avoir aidé.
>
>
> On Wed, Sep 07, 2011 at 11:59:24AM +0200, Mathieu BLANC wrote :
>> Le 07/09/2011 11:33, Ronan DILY a écrit :
>> >>1.$client et $serveur sont séparés par un routeur ? du NAT ?
>> >Dans le même réseau (192.168.1.0/24). Je n'ai pas de DMZ pour une raison stupide, ma machine ne peut pas avoir plus de 3 cartes réseaux (une de base + 2 port pci libre...).
>>
>> Si ton switch supporte le 802.1Q, tu peux créer des interfaces vlan
>> sur ton OpenBSD, pas besoin de carte supplémentaire.
>>
>> --
>> Mathieu
>>
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>



--
Mattieu Baptiste
"/earth is 102% full ... please delete anyone you can."

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Patrick Lamaiziere
In reply to this post by Philippe Schwarz
Le Wed, 07 Sep 2011 11:51:49 +0200,
Philippe Schwarz <[hidden email]> a écrit :

> - Règles de PF complexes à valider, car trop d'interfaces (à titre
> perso j'essaye de ne pas dépasser 3 NIC; au delà les risques de
> boulette augmentent considérablement, amhe..)

Alors un peu d'auto promotion.

C'est un vrai problème. J'ai développé un outil qui aide beaucoup
les admins réseaux du boulot et qui permet de lister les règles en
fonction d'une demande utilisateur (par exemple qu'elles sont les
règles qui s'appliquent d'internet vers cet hôte sur le port
tcp/80 ?). C'est très utile quand on a un pf.conf de 3000 lignes.

La partie pour PF est là :
https://listes.cru.fr/wiki/jtacl/public/packetfilter

Voilà, ceci dit y'a des limitations (pas de NAT par exemple, mais on
n'en fait pas). Je m'en suis aussi servi pour migrer des règles de
Cisco vers PF, et valider le résultat.

Si jamais ça peut-êre utile...

Cordialement.

--
BSDine® 500mg
Maux de tête et licences virales.

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Philippe Schwarz
Le 07/09/2011 13:52, Patrick Lamaiziere a écrit :
> Le Wed, 07 Sep 2011 11:51:49 +0200,
> Philippe Schwarz <[hidden email]> a écrit :
>
>> - Règles de PF complexes à valider, car trop d'interfaces (à titre
>> perso j'essaye de ne pas dépasser 3 NIC; au delà les risques de
>> boulette augmentent considérablement, amhe..)
>
> Alors un peu d'auto promotion.
Oui, vive l'autopromo :-)

>
> C'est un vrai problème. J'ai développé un outil qui aide beaucoup
> les admins réseaux du boulot et qui permet de lister les règles en
> fonction d'une demande utilisateur (par exemple qu'elles sont les
> règles qui s'appliquent d'internet vers cet hôte sur le port
> tcp/80 ?). C'est très utile quand on a un pf.conf de 3000 lignes.
>
> La partie pour PF est là :
> https://listes.cru.fr/wiki/jtacl/public/packetfilter
>
> Voilà, ceci dit y'a des limitations (pas de NAT par exemple, mais on
> n'en fait pas). Je m'en suis aussi servi pour migrer des règles de
> Cisco vers PF, et valider le résultat.
>
> Si jamais ça peut-êre utile...
Euh,...c'est carrément très bien, plutôt!
Je garde ça sous le coude.

Merci beaucoup.



________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Vnagot.Cbe
Salut

2011/9/7 Philippe Schwarz <[hidden email]>:

> Le 07/09/2011 13:52, Patrick Lamaiziere a écrit :
>> Le Wed, 07 Sep 2011 11:51:49 +0200,
>> Philippe Schwarz <[hidden email]> a écrit :
>>
>>> - Règles de PF complexes à valider, car trop d'interfaces (à titre
>>> perso j'essaye de ne pas dépasser 3 NIC; au delà les risques de
>>> boulette augmentent considérablement, amhe..)
>>
>> Alors un peu d'auto promotion.
> Oui, vive l'autopromo :-)
+1 surtout pour ça

>
>>
>> C'est un vrai problème. J'ai développé un outil qui aide beaucoup
>> les admins réseaux du boulot et qui permet de lister les règles en
>> fonction d'une demande utilisateur (par exemple qu'elles sont les
>> règles qui s'appliquent d'internet vers cet hôte sur le port
>> tcp/80 ?). C'est très utile quand on a un pf.conf de 3000 lignes.
>>
>> La partie pour PF est là :
>> https://listes.cru.fr/wiki/jtacl/public/packetfilter
>>
>> Voilà, ceci dit y'a des limitations (pas de NAT par exemple, mais on
>> n'en fait pas). Je m'en suis aussi servi pour migrer des règles de
>> Cisco vers PF, et valider le résultat.
>>
>> Si jamais ça peut-êre utile...
> Euh,...c'est carrément très bien, plutôt!
> Je garde ça sous le coude.
encore +1

>
> Merci beaucoup.
>
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>

Merci bien, tu pourrais peut être aussi l'ajouter sur le wiki
d'openbsd france ?!

--
Vincent

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Redirection ADSL ou SDSL

Patrick Lamaiziere
Le Fri, 9 Sep 2011 13:14:33 +0200,
"vnagot.cbe" <[hidden email]> a écrit :

> Merci bien, tu pourrais peut être aussi l'ajouter sur le wiki
> d'openbsd france

Essayez le d'abord, ama. Je suis preneur de retours sur l'outil (en
privé ou sur la liste du projet).

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php