turboDSL,routeur et NAT??

turboDSL,routeur et NAT?? - Windows & Software

Marsh Posté le 15-04-2002 à 11:02:35    

Hello,
 
Je dispose d'une connexion TurboDSL de FT. Mon modem est connecté à un routeur configuré uniquement par FT. Cependant l'admin réseau de l'epoque a donné au technicien de FT un plage d'adresses qui n'est pas privé pour faire du NAT sur le reseau local. Moi j'aimerais avoir des adresses privés sur le local. Alors deux solutions :
1- j'appelle FT et je leur demande de me changer si c'est possible??
2- je met une machine qui renat les adresses que j'ai en sortie de mon routeur en adresses privés??
 
Quelle est la meilleur solution?
Merci!

Reply

Marsh Posté le 15-04-2002 à 11:02:35   

Reply

Marsh Posté le 15-04-2002 à 11:16:38    

je vais mettre en prod ce genre d'infra ici même.
 
Nous allons avoir au moins une IP publique. Tu es obligé d'en avoir une, sinon, impossible d'aller sur le net.
 
Nous allons prendre l'option sécurisée de FT, mais je rajouterai quand même mon propre firewall (sous Linux, IRCop ou Smoothwall à mon avis), puis encore derrière je vais mettre une SME (Ex E-smith) pour le proxy, mail, etc.., derrière cette SME, le LAN et les WANS
 
internet ------- FT (firewallFT) ------ routeurFT -- MonFirewall -- MaSME - MonLAN
 
C'est ce que je te conseille de faire


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 15-04-2002 à 11:28:07    

Oui mais c'est qui qui NAT dans ton architecture?? et quel type d'adresse? :??:

Reply

Marsh Posté le 15-04-2002 à 11:30:47    

pleth a écrit a écrit :

Hello,
 
Je dispose d'une connexion TurboDSL de FT. Mon modem est connecté à un routeur configuré uniquement par FT. Cependant l'admin réseau de l'epoque a donné au technicien de FT un plage d'adresses qui n'est pas privé pour faire du NAT sur le reseau local. Moi j'aimerais avoir des adresses privés sur le local. Alors deux solutions :
1- j'appelle FT et je leur demande de me changer si c'est possible??
2- je met une machine qui renat les adresses que j'ai en sortie de mon routeur en adresses privés??
 
Quelle est la meilleur solution?
Merci!  




 
en général, tu disposes de plusieurs ips publiques :
- celle du routeur (FT peut se connecter dessus)
- plusieurs ips à disposition.
 
voici ce que nous avons ds not boîte :
- plusieurs ips publiques fixes routées vers ip privées fixes pour serveurs web, ...
- 1 ip publique fixe permettant les connexions sortantes depuis ts les auters postes. dans ce cas, aucune connexion entrante n'est possible
 
le technicien FT gère la table de routage et le nat (tu peux aussi faire utiliser le routeur comme fw en donnat tes règles).
tu gères tes ips privées comme tu le souhaites.
 
Dans mon cas de figure, une fois les règles nat définies, je gère tout seul mes ips privées pour mettre en ligne ou non un serveur, ..., no problemo
 
et pour répondre à ce que j'ai compris de ta question : tu gères tout seul tes ips privées. Ft ne fait que la translation.


---------------
bah kestufou ?
Reply

Marsh Posté le 15-04-2002 à 11:35:29    

pleth a écrit a écrit :

Oui mais c'est qui qui NAT dans ton architecture?? et quel type d'adresse? :??:  




 
Ce seraI la SME puisque c'est elle qui est branchée au LAN, mais je ne ferai pas de NAT pour des raisons de hautes sécurité ( :lol: ).
 
Mes users n'auront pas besoin de faire autrechose que surfer, ils passeront donc par un proxy. JE bloquerai tt les flux.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 15-04-2002 à 11:35:57    

Pnar a écrit a écrit :

 
 
en général, tu disposes de plusieurs ips publiques :
- celle du routeur (FT peut se connecter dessus)
- plusieurs ips à disposition.
 
voici ce que nous avons ds not boîte :
- plusieurs ips publiques fixes routées vers ip privées fixes pour serveurs web, ...
- 1 ip publique fixe permettant les connexions sortantes depuis ts les auters postes. dans ce cas, aucune connexion entrante n'est possible
 
le technicien FT gère la table de routage et le nat (tu peux aussi faire utiliser le routeur comme fw en donnat tes règles).
tu gères tes ips privées comme tu le souhaites.
 
Dans mon cas de figure, une fois les règles nat définies, je gère tout seul mes ips privées pour mettre en ligne ou non un serveur, ..., no problemo
 
et pour répondre à ce que j'ai compris de ta question : tu gères tout seul tes ips privées. Ft ne fait que la translation.  




 
Oui j'ai exactement ca. Mais l'admin m'a laissé aucun papier sur les configs. Donc suffit que j'appelle le technicien FT et qu'il me change les adresses que j'ai actuellement en local du type 148.xxx.xxx.xxx en 192.168.0.xxx si j'ai bien compris.

Reply

Marsh Posté le 15-04-2002 à 13:46:11    

:bounce:

Reply

Marsh Posté le 15-04-2002 à 14:24:23    

pleth a écrit a écrit :

 
 
Oui j'ai exactement ca. Mais l'admin m'a laissé aucun papier sur les configs. Donc suffit que j'appelle le technicien FT et qu'il me change les adresses que j'ai actuellement en local du type 148.xxx.xxx.xxx en 192.168.0.xxx si j'ai bien compris.  




 
rappel : les réseaux privés doivent avoir les ip suivantes :
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
dans le cas contraire, celà pose des pbs d'accès au net, mais aussi et surtout des pbs de sécu (tes ips peuvent être forwardées par les routeur).
 
il faut donc changer ton LAN. et seul toi peut le faire.
 
puis appelle FT pour qu'il change les règles de nat, et profite-en pour faire un point sécu avec lui (ya pas de fw, mais le routeur fait office de), pour voir les ports acceptés, ...
ex. :
- tcp/udp entrant sur 148.x.y.z fermé sauf port 80 vers 192.168.0.u:8080, ...
 
remarque : ça m'étonne que FT n'ai pas 'tiqué' pour tes ips privées. t'es bien sûr de parler des ips privées et non des publiques  ?
 
rappel2 : n'oublie pas qu'un IE local ouvre un socket vers le port 80 par ex., mais ceci à partir d'un port > 1024 (règle générique : ports <1024 plutôt côté serveur, sinon côté client).
...


---------------
bah kestufou ?
Reply

Marsh Posté le 15-04-2002 à 14:45:08    

Pnar a écrit a écrit :

 
 
rappel : les réseaux privés doivent avoir les ip suivantes :
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
dans le cas contraire, celà pose des pbs d'accès au net, mais aussi et surtout des pbs de sécu (tes ips peuvent être forwardées par les routeur).
 
il faut donc changer ton LAN. et seul toi peut le faire.
 
puis appelle FT pour qu'il change les règles de nat, et profite-en pour faire un point sécu avec lui (ya pas de fw, mais le routeur fait office de), pour voir les ports acceptés, ...
ex. :
- tcp/udp entrant sur 148.x.y.z fermé sauf port 80 vers 192.168.0.u:8080, ...
 
remarque : ça m'étonne que FT n'ai pas 'tiqué' pour tes ips privées. t'es bien sûr de parler des ips privées et non des publiques  ?
 
rappel2 : n'oublie pas qu'un IE local ouvre un socket vers le port 80 par ex., mais ceci à partir d'un port > 1024 (règle générique : ports <1024 plutôt côté serveur, sinon côté client).
...  




 
Merci beaucoup pour toutes ces infos (je suis un peu newbie aussi  :lol: ). En fait tout a ete fait avec l'ancien admin et ca me paraissait aussi tres etrange les ip non privées. Je parle bien des ip des machines en local.  
Je vais de ce pas appelé FT pour qu'il me change ca. Si t'a aussi d'autres tips ou lien qui pourrait m'aider à consolider tout ca je suis preneur  :)  
Grand merci!  :hello:
 
ps : oups c mon deuxieme pseudo que j'ai la  :lol:

 

[jfdsdjhfuetppo]--Message édité par Cocobo--[/jfdsdjhfuetppo]

Reply

Marsh Posté le 15-04-2002 à 15:46:05    

Cocobo a écrit a écrit :

 
Je vais de ce pas appelé FT pour qu'il me change ca. Si t'a aussi d'autres tips ou lien qui pourrait m'aider à consolider tout ca je suis preneur  :)  




allez, l'indispensable :
- pour tes serveurs avec ip publique fixe, fais gaffe à la sécu. interdit tout sauf ce qu'il servent, et en plus, passe les patches, et vire les comptes admin par défaut (anecdote, un hacker a utilisé notre smtp, ce qui nous a banni de plein de trucs...lourd!).
- pour les pcs à ip publique partagée : pas de possibilité de traffic entrant par conception. donc soit cool, laisse leur leurs trucs et autorise tout en sortie. si tu es ds une SSII, il est toujours bon que les développeurs se fassent la main à plein de trucs.
- pour ton LAN :
   -> garde toi une plage d'ips fixes pour tes serveurs (ex. 192.168.0.1 à 30)
   -> mets le reste (.31 à .253)en dhcp pour les postes bureautiques ou de dévt (les postes partageant la même ip publique)
   -> la passerelle en .254
   -> ne touche pas au .0 et .255 (réservés broadcast et autres)
   -> mets un subnetmask de 255.255.255.0 par ex. mais surtout pas 255.0.0.0
 
rappel : FT ne peut rien pour ton LAN, mais connecté au routeur, il peut 'voir' dans le segment de réseau.
 
ps : je suis tjrs étonné pour tes ips !!!
 
EDIT : ha, si, le routeur et le modem je les éteins ts les 3 mois approx., ou qd ça commence à merdouiller
 
EDIT2 : installes un firewall sur certains postes, sans bloquer, juste pour voir ce qui se passe (log). c très instructif. prends Tiny PErso Firewall pour windows, ipchains pour linux. c déjà bien.

 

[jfdsdjhfuetppo]--Message édité par Pnar--[/jfdsdjhfuetppo]


---------------
bah kestufou ?
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed