Forum Clubic

Paramétrage Internet > Firewall > Switch

Bonjour à tous, j’espère que ce forum pourra m’aider, car franchement, je sèche la…

Voila je explique rapidement :

Je souhaite installer un Firewall Zyxel Zywall USG 100 indépendant, sur un réseau existant. (actuellement, Livebox > Switch > Ordi)
Actuellement, après quelques modifs, j’arrive à ce que le Firewall diffuse internet en étant connecté au switch. (mais ça ne sert à rien…)

Je souhaite donc mettre mon firewall derrière la Livebox, et ensuite brancher ce firewall sur le switch. (histoire de filtrer l’arrivée internet)

Jusque la, j’espère ne pas vous avoir perdu ^^

Ma config IP actuelle :

LB : 192.168.1.1 (avec une DMZ et IP Fixe en 192.168.1.100
Firewall : 192.168.1.100 (sur le port LAN qui est censé me distribuer internet) et (passerelle 192.168.1.1 // dns primaire 192.168.1.1)
PC : IP 192.168.1.110 // Passerelle et DNS 192.168.1.100

Quelqu’un à une idée pour résoudre ce problème ? :slight_smile:

salut,

ca se configure comment cette petite bette ? une page web? en telnet / ssh ? port console ?

en tout cas si j’avais cette petite bette je commencerai par ca:
-le brancher en direct sur la Livebox sur un de ses port WAN.
-il faut que son port WAN est une ip de meme réseau que la livebox (192.168.1.100 c’est parfait)
-Par contre coté LAN il faut qu’il ai une adresse réseau différente!! (192.168.2.1 par exemple)
-et tes pc auront des ip comme 192.168.2.2 passerelle 192.168.2.1

Mais ta petite bette fait elle routeur ? peut faire du NAT ? serveur dhcp?

Je vais jeter un oeil a la doc je connais pas du tout ces appareils.

a+

Bon bein c’est du lourd ton truc :slight_smile:

J’aimerai bien en avoir un dans les mains ^^

www.zyxel.fr…

[Photo supprimée]

si tu as laissé la config par defaut c’est normal que ca fonctionne pas, ta livebox à une adresse réseau 192.168.1.0 et tes machines sur le port 4 et 5 ont aussi pour adresse réseau 192.168.1.0.

Il faut que tu change soit l’ip de la livebox soit l’ip de l’interface lan1.

Hello :slight_smile:

Déjà, merci d’avoir souligné le point du port 4/5 (car le miens étant un USG 100, les ports sont décalés, et je dois le brancher sur le port 5 pour avoir l’IP en 192.168.2.1) ^^

Bref, le port WAN est en 192.168.1.100 avec passerelle sur 192.168.1.1 et DNS primaire 192.168.1.1.
Le port LAN est en 192.168.2.1
Le PC à une IP 192.168.2.33, une passerelle 192.168.2.1 et DNS primaire 192.168.2.1

Avec cette config, j’ai eu le net 2 millisecondes, le temps de charger la page d’accueil quoi (a jour, pas du cache), puis impossible d’aller plus loin… Ça rame énormément, et “impossible d’afficher la page”

As tu une idée du problème ? :slight_smile:

Comme ca non, mais procede par étape.

Ping de plus en plus loin: (bien que le ping puisse etre filtré et n’est pas une référence absolue)
Ping 192.168.2.1 ok ? (interface de ton zyxel coté Lan)
Ping 192.168.1.100 ok ? (interface de ton zyxel coté Wan)
Ping 192.168.1.1 ok? (interface de ta livebox coté Lan)
Ping l’ip de google ok ? (pour avoir l’ip de google tu fait ping google.fr depuis un poste qui as le net)
Ping google.fr ok ?

ajoute -t a la suite de la commande ping pour quelle ping sans s’arreter.(ctrl+c pour l’arreter)

Alors,

Ping 192.168.2.1 ok ? (interface de ton zyxel coté Lan)
Ping 192.168.1.100 ok ? (interface de ton zyxel coté Wan)
Ping 192.168.1.1 ok? (interface de ta livebox coté Lan)

La, pas de problème…

Ping l’ip de google ok ? (pour avoir l’ip de google tu fait ping google.fr depuis un poste qui as le net)
Ping google.fr ok ?

La, impossible de pinguer :frowning:

ha bein il y a un firewall qui te bloque ^^

Je vais regarder la doc je sais pas comment on fixe les règles sur ton engin…

Le firewall de la Livebox est au mini, donc ça doit venir du Zxyel (ça va, il fait bien son taff, mais un peu trop ^^)

Mouai par contre la,
sans connaitre avoir la bete il me faudrai trop de temps pour comprendre ce qui est configuré par défaut et pour le modifier pour que ca colle avec ce que tu veux…

tout est expliqué dans cette doc, mais j’ai pas le temps de m’y coller.

www.zyxel.fr…

Il va falloir que tu t’ y colle :stuck_out_tongue:

Décris nous quand meme toutes les règles que tu veux appliquer, si un clubicien en as un ou se sent chaud, il pourra te guider.

Par curiosité tu veux faire quoi de plus qu’avec le firewall de la livebox?

Bah en fait, ce firewall, permet de bloquer des sites, il fait antivirus également, donc l’idéal, c’est qu’il soit branché avant le switch pour filtrer le trafic, parce qu’après, il ne sert à rien, tu confirmes ? ^^

euh bein si tu peux t’en servir pour d’autres choses,

mais oui si c’est pour la sécurité il faut qu’il soit en amont des pc.

Donc pour tes règles tu voudrai dans un premier temps tout laisser passer puis ajouter un filtrage par sites ?

Envoie nous des screen des routing policy et des firewall policy.
Edité le 03/06/2010 à 12:26

Ouais voila, pouvoir bloquer au fur et a mesure, en sachant qu’on va pas être trop restrictif, mais c’est au cas ou…

Principalement, c’est pour l’antivirus, histoire que le réseau soit protégé.

Donc dans la logique : Internet (LB) > Firewall > Switch > PC…

Pour les screens, je t’envoie ça début d’aprem, la je suis pas devant :slight_smile:

Pas tout lu… j’ai la flemme…
Connais pas les FW Zyxell en particulier, mais peu importe le fonctionnement général est souvent le même…

  1. ton FW va toujours avoir une fonction NAT entre sonc coté RED Zone et son coté GREEN Zone (donc 2 réseaux différents)
  2. 90% des FW ont un Implicit Deny All (donc au départ tout est bloqué et il faut ouvrir les ports petit à petit)
  3. sur ton FW tu dois implémenter les gateway et DNS de ta box
  4. sur tes PCs le DNS reste celui de la box, le gateway peut être soit celui de la box, soit un gateway fourni par le FW
    5)… (il y a plein de possibilités/options)

héhé merci raven pour ces éclaicissement :slight_smile:

tu pourrai m’expliquer le concept de red zone / green zone ?

et comment la gateway peut etre la livebox si le FW est entre le pc et la livebox ?

Merci :super:

le “green”, c’est les gentils (toi, ton LAN)
le “red”, c’est les méchants (les autres, l’internet)
“l’orange”, c’est les gars au milieu (la DMZ)

Pour la gateway, c’est très certainement parce qu’un firewall (“de base”) n’est pas une gateway, c’est plutôt un filtre qui n’offre pas (“forcément”) d’accès à d’autres réseaux comme le fait une… gateway.
(je mets des “guillemets” à cause de tous ces équipements qui font “all in one et même plus”…)
Edité le 03/06/2010 à 14:44

Bon alors de mon côté, j’ai testé de désactiver le firewall, et rien… J’ai eu le net un 1000ème de seconde, et plus rien…

Du côté du panneau d’admin, c’est similaire à ça : www.zyxeltech.de…

Si ça peut aider :slight_smile:

Bah, comme peper a déjà dit
Souvent tu as Green Zone qui est en aval des FW (c’est le LAN Sécurisé)
La DMZ est souvent appellée Amber Zone (surtout dans les structures du type Internet-FW-DMZ-FW-LAN)
Et évidament la Red Zone est tout ce qui n’est aucunement protégö par les FW… donc l’extranet

en ce qui concerne le Gateway, plusieurs FW proposent soit une configuration en mode transparent (dans ce cas, la plupart du temps elle fonctionnent en mode IDS/IPS (Intrusion Detection System/Intrusion Prevention System)), soit il y a une option de relai de gateway

@peper

hmm mais ca entre en conflit avec le point numéro un que raven citais?
1) ton FW va toujours avoir une fonction NAT entre sonc coté RED Zone et son coté GREEN Zone (donc 2 réseaux différents)
Si du Nat est effectué ca induit qu’il y a changement de réseau, donc routage, donc gateway?

@Xender
cool la simulation :slight_smile:
Envoie quand meme les screen pour qu’on sache ce qui est paramètré chez toi (savoir ou on en est)

EDIT: ok merci raven je comprends mieux
Edité le 03/06/2010 à 15:10

prend le Toujours de mon point 1 avec des pincettes… si tu ne fais pas de FW mais que du IDS/IPS il se peut qu’il soit 100% transparent (et donc sans NAT)… j’avoue avoir été un peu vite…

Il te faudrait quelle(s) page(s) en screen ?? :slight_smile: