Plusieur IP publiques, et serveurs de messagerie
-
Bon, je commence peut être à comprendre mais si je demande l'extension de routage de mes IP vers la DMZ. Quelle sera mon ip publique pour les machines du LAN ?
Ne devrais-je pas utilisez Une IP publique pour l'interface OPT2 ?
J'aurai sur la DMZ un nombre de machines supérieur aux nombre d'IP publiques ça va pas coincer là ?
je ne cesse de lire et relire le 16.9 de http://doc.m0n0.ch/handbook-single/#id2604955 et je m'arrache les cheveux. Sachant que je dois ensuite brancher une ligne ADSL sur OPT1 et router encore des ports vers la DMZ, Je me dit que je ne suis pas près d'y arriver. :'(
-
Ah Juve, j'ai une nouvelle piste grâce à votre réponse dans un post qui ressemble bien à mon problème (http://forum.pfsense.org/index.php/topic,6490.0.html)
En fait l'extension de routage est à faire jusqu'au WAN avec ip privée de PFsense. Ensuite, comme vous le laissez entendre, on fait ce que l'on veut routage ou NAT.
De ce fait et vue mon nombre de serveur, j"aurai intérêt (contrairement à mon shéma) à faire du NAT vers la DMZ et donner des IP privée au serveur ? Est-ce bien cela ?
Aurais je bien des réponses de mes serveur qui porterons l'IP public décrite par le NAT et donc bien conforme pour les reverse DNS.?Et bien entendu, pour le LAN, je prends une IP et hop le tour est joué.
Si la réponse est oui à toute les questions je classe en "résolu" et je reviendrai éventuellement par d'autre posts pour les subtilités de config après la modif de NERIM.
Voila, il ne faut pas grand chose pour comprendre ou pas, un mot parfois… là j'étais très ennuyé par l'idée de n'avoir que 5 IP sur la DMZ
et très troublé (par manque de culture) de savoir que l'on pouvait atteindre des IP publiques en traversant un segment privé.Merci pour votre aide. J'attends votre ultime confirmation pour passer à l'action.
-
combien avez vous de machines a mettre en DMZ ?
Moi j'en metterais un minimum en DMZ avec IP publique (généralement primaire DNS,relais SMTP,reverse proxy).
ensuite le reste dans le LAN avec du NAT.
-
Au minimum,
2 serveurs WEB
2 serveur de messagerie
1 serveur de fichier (Webdav)
1 serveur Citrix
1 serveur de sauvegarde pour les sauvegardes de sites distants
L'un des serveur de messagerie est en backup d'autres serveurs sur des sites distant
et j'ai parfois besoin d'une IP disponible pour des tests
Je compte aussi utiliser la 2emme ligne ADSL pour router le traffic de sauvegarde -
Ok donc au niveau de l'adressage:
2 serveurs WEB = LAN
2 serveur de messagerie = LAN
1 serveur de fichier (Webdav) = LAN
1 serveur Citrix = LAN
1 serveur de sauvegarde pour les sauvegardes de sites distants = LANEnsuite en DMZ :
1 (ou deux) reverse proxy qui publient :
- les 2 serveurs WEB
- le webdav
1 (ou deux) relais de messagerieEnsuite les ip publiques restantes peuvent etre utilisées dans différent NAT/redirection de ports.
-
Suivant vos conseils, j'ai fais une demande à mon FAI en ce sens.
La réponse du support est la suivante :
"En fait si nous comprenons bien, vous souhaitez mapper des ip publiques sur des adresses privées ? C'est à dire par exemple, corréler la
x.x.x.138 avec l'adresse interne 10.0.0.1 ? "Nous ne recommandons pas le mappage public/privé.
Est-ce que je peux comprendre que ce que vous appeler "extension du routage" se traduit pour "mapper des ip publiques sur des adresses privées".
Je comprends qu'ils ne sont pas opposés à le faire si je confirme ma demande mais qu'ils pressentent des inconvénients. Je vais essayer dans savoir plus mais de votre coté, connaissiez vous ces réticences et éventuellement les raisons.
-
…. c'est la config de luxe ;-)
Puisque l'on en reparle il serait intéressant que vous listiez brièvement, de votre point de vue, en quoi cette configuration présente un "luxe" particulier, plus sérieusement ce que sont les avantages selon vous. Non que je ne comprenne pas ou que j'en doute fondamentalement, mais c'est toujours très intéressant de parler des pratiques.
-
Ils n'ont pas compris. Ce n'est pas du mappage que l'on demande (Nat 1:1 techniquement), mais du simple routage:
route add -net x.x.x.x/29 gw 10.0.0.2 ;D ou x.x.x.x l'adresse de votre réseau publique.Pour répondre à CCNET:
Pourquoi "luxe" ? pour les raisons suivantes:
- quand on route et qu'on a la main sur le routeur, on est omniscient et on peut tout faire sur le flux
- lorsqu'on route , on peu aussi faire du NAT, mais pas l'inverse (une IP publique présente en DMZ peut aussi posseder des règles de NAT sur le firewall pour faire du détournement de flux…)
- parce que le routage c'est plus performant que le NAT lorsqu'on monte en charge. Le routage s'effectue en mode kernel, le NAT nécessite une introspection dans chaque paquet pour réécrire les en-têtes, les tables de correspondances consomme de la mémoire. Généralement le NAT sur une forte charge nécessite de bonne cartes car gourmand en mémoire tampon (le temps que la pile TCP/IP réécrive les paquet).
- parce que dans certain protocoles de couche 7, on a des facilité quand la machine générant les paquets possède l'IP "publique" (FTP passif, passerelles SIP)
- meilleur traçabilité des connexions de bout en bout dans certain cas
-
Il faudrait dans ce cas router tout le subnet, hors, l'une des IP est nécéssaire pour leur routeur qui reste en amont de PFSENSE
c'est d'ailleur ce qui est expliqué ici : http://doc.m0n0.ch/handbook-single/#FAQ.IpAlias -
NON !! pourquoi une ip publique en amont de pfsense ????? Nerim doit placer le routeur en plage privée, avec une route statique pour votre plage publique en direction de l'IP privée de votre pfsense (carte WAN) !!!!
-
Juve : merci pour les réponses. Si je suis d'accord sur le papier, je suis un peu en retrait de cet enthousiasme sur le plan pratique. Cette discussion l'illustre en partie.
-
Il est certain que pour réaliser de telles configurations, il faut maitriser le routage et avoir un technicien qui le maitrise chez l'opérateur (c'est le plus dur).