subnet avec proxy arp

Le
Samuel
Bonjour,

Tout d'abord petite question : quand on a une passerelle avec 3 pattes et
que l'on souhaite introduire la fonctionalité de proxy-arp pour deux d'entre
elles, ce qui est échangé entre les deux cartes est quand même analysé par
netfilter ????

A l'heure actuelle, mon réseau (au boulot) est comme ça :

Internet
|
(193.x.x.76)
routeur
(192.168.0.1/24)
|
(192.168.0.2/24) __ serveur1
firewall debian(10.10.10.1/24)dmz--| (10.10..10.2)
(192.168.1.1/24) serveur 2
|
(10.10.10.3)
(192.168.1.0/24)
LAN

Nous prenons un abonnement Oleane avec un sous-réseau de 8 adresses IP
disons de 64.165.5.40 à 64.165.5.47 avec un mask de 255.255.255.248.
Je souhaite mettre mes deux serveur de la DMZ en adressage public pour avoir
deux serveurs SMTP public dont un MX de secours (par exemple).
Après lecture, la fonction de proxy-arp me semble plus adaptée à mes besoins
que la division de mon subnet public en deux sous-reseaux (dites-moi si je
me trompe).
Je vais donc me retrouver avec un réseau de ce type :

Internet
|
(64.165.5.46)
routeur
(64.165.5.41)
|
(64.165.5.42) __ serveur1
firewall debian(64.165.5.42)dmz--| (64.165.5.43)
(192.168.1.1/24) serveur 2
|
(64.165.5.44)
(192.168.1.0/24)
LAN

Les adresses publiques ayant un mask de 255.255.255.248
La patte Wan et Dmz du firewall ayant la même IP pour utiliser la fonction
proxy-arp.

Est-ce que cela est correct comme organisation ????
D'après les articles lus, avec cette solution, je dois juste modifier deux
routes sur le firewall pour rediriger correctement vers la patte interne du
routeur ou vers la Dmz.
Est-ce tout, y-a-t-il des pièges à éviter ????

Merci à tous pour vos réponses.

Samuel.

[crosspost et suivi sur fr.comp.reseaux.ip]
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Samuel
Le #396942
Désolé, dans le graph, l'adresse IP du deuxième serveur de la DMZ a glissé
au dessus de l'adresse du reseau Lan.

Samuel.
Samuel
Le #396939
Tout d'abord petite question : quand on a une passerelle avec 3 pattes
et


que l'on souhaite introduire la fonctionalité de proxy-arp pour deux
d'entre elles, ce qui est échangé entre les deux cartes est quand même
analysé par netfilter ????


Oui.


Merci pour cette réponse, je suis rassuré sur ce point.
Ce qui me fait 'peur', c'est que personne n'a répondu pour mon schéma.
J'espère ne pas être à côté de la plaque.
On verra bien ce week-end pour le premier test ... glurp

Merci.
Samuel.


Samuel
Le #396938
Merci cette explication .... détaillée .....
Je vais suivre tes conseils et tester en premier le plus propre : le bridge.

Merci beaucoup.
Samuel.
Cyriac BENOIT
Le #396937
On Wed, 23 Jul 2003 19:21:07 +0200, Samuel wrote:

Bonjour,


Bonjour,

Tout d'abord petite question : quand on a une passerelle avec 3 pattes et
que l'on souhaite introduire la fonctionalité de proxy-arp pour deux d'entre
elles, ce qui est échangé entre les deux cartes est quand même analysé par
netfilter ????


Oui, bien sûr.
Mais je ne sais pas si tu peux te mettre en proxy-arp sur 2 pattes
seulement... (longtempss que je ne m'en suis plus servi : mon firewall à
450 jours d'uptime... ;p)

Après lecture, la fonction de proxy-arp me semble plus adaptée à mes besoins
que la division de mon subnet public en deux sous-reseaux (dites-moi si je
me trompe).


Et bien j'ai eu pas mal de problème en proxy-arp en fait, surtout au
niveau du routeur CISCO : lors de la mise en place du firewall, il nous a
fallu redémarrer le routeur pour flusher son cache ARP...

Est-ce que cela est correct comme organisation ????


A priori oui (mais je dois avouer avoir lu en diaagonale...).

D'après les articles lus, avec cette solution, je dois juste modifier deux
routes sur le firewall pour rediriger correctement vers la patte interne du
routeur ou vers la Dmz.
Est-ce tout, y-a-t-il des pièges à éviter ????


Les pièges à éviter ? Ne rien changer à la configuration des tes serveurs
(les passerelles par défaut sera ton routeur, et pas ton firewall).
Enfin, je te conseille pour toutes tes manipulations de route d'utiliser
iproute (commande 'ip') plutôt que la commande 'route' standard.

Samuel
Le #396935
Les pièges à éviter ? Ne rien changer à la configuration des tes serveurs
(les passerelles par défaut sera ton routeur, et pas ton firewall).
Enfin, je te conseille pour toutes tes manipulations de route d'utiliser
iproute (commande 'ip') plutôt que la commande 'route' standard.


Salut et merci pour les conseils supplémentaires,

De toute manière, je vais essayer de tester toutes les solutions sur une
passerelle de test avant.

Merci.
Samuel.

Poster une réponse
Anonyme