Bonjour à tous, j’espère que ce forum pourra m’aider, car franchement, je sèche la…
Voila je explique rapidement :
Je souhaite installer un Firewall Zyxel Zywall USG 100 indépendant, sur un réseau existant. (actuellement, Livebox > Switch > Ordi)
Actuellement, après quelques modifs, j’arrive à ce que le Firewall diffuse internet en étant connecté au switch. (mais ça ne sert à rien…)
Je souhaite donc mettre mon firewall derrière la Livebox, et ensuite brancher ce firewall sur le switch. (histoire de filtrer l’arrivée internet)
Jusque la, j’espère ne pas vous avoir perdu ^^
Ma config IP actuelle :
LB : 192.168.1.1 (avec une DMZ et IP Fixe en 192.168.1.100
Firewall : 192.168.1.100 (sur le port LAN qui est censé me distribuer internet) et (passerelle 192.168.1.1 // dns primaire 192.168.1.1)
PC : IP 192.168.1.110 // Passerelle et DNS 192.168.1.100
ca se configure comment cette petite bette ? une page web? en telnet / ssh ? port console ?
en tout cas si j’avais cette petite bette je commencerai par ca:
-le brancher en direct sur la Livebox sur un de ses port WAN.
-il faut que son port WAN est une ip de meme réseau que la livebox (192.168.1.100 c’est parfait)
-Par contre coté LAN il faut qu’il ai une adresse réseau différente!! (192.168.2.1 par exemple)
-et tes pc auront des ip comme 192.168.2.2 passerelle 192.168.2.1
Mais ta petite bette fait elle routeur ? peut faire du NAT ? serveur dhcp?
Je vais jeter un oeil a la doc je connais pas du tout ces appareils.
si tu as laissé la config par defaut c’est normal que ca fonctionne pas, ta livebox à une adresse réseau 192.168.1.0 et tes machines sur le port 4 et 5 ont aussi pour adresse réseau 192.168.1.0.
Il faut que tu change soit l’ip de la livebox soit l’ip de l’interface lan1.
Déjà, merci d’avoir souligné le point du port 4/5 (car le miens étant un USG 100, les ports sont décalés, et je dois le brancher sur le port 5 pour avoir l’IP en 192.168.2.1) ^^
Bref, le port WAN est en 192.168.1.100 avec passerelle sur 192.168.1.1 et DNS primaire 192.168.1.1.
Le port LAN est en 192.168.2.1
Le PC à une IP 192.168.2.33, une passerelle 192.168.2.1 et DNS primaire 192.168.2.1
Avec cette config, j’ai eu le net 2 millisecondes, le temps de charger la page d’accueil quoi (a jour, pas du cache), puis impossible d’aller plus loin… Ça rame énormément, et “impossible d’afficher la page”
Ping de plus en plus loin: (bien que le ping puisse etre filtré et n’est pas une référence absolue)
Ping 192.168.2.1 ok ? (interface de ton zyxel coté Lan)
Ping 192.168.1.100 ok ? (interface de ton zyxel coté Wan)
Ping 192.168.1.1 ok? (interface de ta livebox coté Lan)
Ping l’ip de google ok ? (pour avoir l’ip de google tu fait ping google.fr depuis un poste qui as le net)
Ping google.fr ok ?
ajoute -t a la suite de la commande ping pour quelle ping sans s’arreter.(ctrl+c pour l’arreter)
Ping 192.168.2.1 ok ? (interface de ton zyxel coté Lan)
Ping 192.168.1.100 ok ? (interface de ton zyxel coté Wan)
Ping 192.168.1.1 ok? (interface de ta livebox coté Lan)
La, pas de problème…
Ping l’ip de google ok ? (pour avoir l’ip de google tu fait ping google.fr depuis un poste qui as le net)
Ping google.fr ok ?
Mouai par contre la,
sans connaitre avoir la bete il me faudrai trop de temps pour comprendre ce qui est configuré par défaut et pour le modifier pour que ca colle avec ce que tu veux…
tout est expliqué dans cette doc, mais j’ai pas le temps de m’y coller.
Bah en fait, ce firewall, permet de bloquer des sites, il fait antivirus également, donc l’idéal, c’est qu’il soit branché avant le switch pour filtrer le trafic, parce qu’après, il ne sert à rien, tu confirmes ? ^^
Pas tout lu… j’ai la flemme…
Connais pas les FW Zyxell en particulier, mais peu importe le fonctionnement général est souvent le même…
ton FW va toujours avoir une fonction NAT entre sonc coté RED Zone et son coté GREEN Zone (donc 2 réseaux différents)
90% des FW ont un Implicit Deny All (donc au départ tout est bloqué et il faut ouvrir les ports petit à petit)
sur ton FW tu dois implémenter les gateway et DNS de ta box
sur tes PCs le DNS reste celui de la box, le gateway peut être soit celui de la box, soit un gateway fourni par le FW
5)… (il y a plein de possibilités/options)
le “green”, c’est les gentils (toi, ton LAN)
le “red”, c’est les méchants (les autres, l’internet)
“l’orange”, c’est les gars au milieu (la DMZ)
Pour la gateway, c’est très certainement parce qu’un firewall (“de base”) n’est pas une gateway, c’est plutôt un filtre qui n’offre pas (“forcément”) d’accès à d’autres réseaux comme le fait une… gateway.
(je mets des “guillemets” à cause de tous ces équipements qui font “all in one et même plus”…)
Edité le 03/06/2010 à 14:44
Bah, comme peper a déjà dit
Souvent tu as Green Zone qui est en aval des FW (c’est le LAN Sécurisé)
La DMZ est souvent appellée Amber Zone (surtout dans les structures du type Internet-FW-DMZ-FW-LAN)
Et évidament la Red Zone est tout ce qui n’est aucunement protégö par les FW… donc l’extranet
en ce qui concerne le Gateway, plusieurs FW proposent soit une configuration en mode transparent (dans ce cas, la plupart du temps elle fonctionnent en mode IDS/IPS (Intrusion Detection System/Intrusion Prevention System)), soit il y a une option de relai de gateway
hmm mais ca entre en conflit avec le point numéro un que raven citais? 1) ton FW va toujours avoir une fonction NAT entre sonc coté RED Zone et son coté GREEN Zone (donc 2 réseaux différents)
Si du Nat est effectué ca induit qu’il y a changement de réseau, donc routage, donc gateway?
@Xender
cool la simulation
Envoie quand meme les screen pour qu’on sache ce qui est paramètré chez toi (savoir ou on en est)
EDIT: ok merci raven je comprends mieux
Edité le 03/06/2010 à 15:10
prend le Toujours de mon point 1 avec des pincettes… si tu ne fais pas de FW mais que du IDS/IPS il se peut qu’il soit 100% transparent (et donc sans NAT)… j’avoue avoir été un peu vite…