Bonjour,
 
Pourriez-vous me dire si le schéma suivant peut marcher :
 

 
En gros je souhaiterai intercaler un pare-feu entre le modem/routeur et le reste de mon réseau, mais sans avoir à modifier la passerelle de tous les postes du réseau. C'est pour ça que je souhaitais reprendre l'adresse IP du modem/routeur. De plus, en cas de panne du pare-feu, je pourrais le court-circuiter en reliant directement le LAN au modem/routeur, toujours sans changer la config des postes (il faudra compter le délai de mise à jour des tables ARP).
 
Pouvez-vous me confirmer ?
 
Merci  

non ça peut pas fonctionner sur le pare feu vu qu'il va voir le même réseau sur deux interfaces routées différentes.

Même en modifiant le masque ?
En même temps je dis ca, je dis rien ...
Mais pourquoi ne pas changer l'adressage IP sur la partie FW --- LAN ?

bah si t'as la même adresse des deux cotés, même en modifiant le masque ça fonctionnera pas vu que tu auras quand même un overlap.

   
A ouai en fait j'avais pas vu qu'il utilisait la même adresse .. (c'est un peu débile comme découpe en fait    )

Comme j'ai dit, dans le LAN j'ai une cinquantaine d'équipements (PC, portables, serveurs, NAS, DD réseau, imprimantes...) en configuration IP fixe et je souhaiterai autant que possible éviter d'aller sur chacun d'eux pour venir modifier la passerelle. D'autre part, en cas de panne, si l'architecture présentée fonctionne, ça me permettrait de pouvoir courtcircuiter le parefeu sans changer le paramétrage des postes.
 

J'ai un peu de mal à voir où ça coince    
Dans sa table ARP, il n'aura qu'une seule correspondance A.198 <> @ mac non ?
Et dans sa table de routage je vois pas trop non plus où ça coince ?

Non ton pare-feu dans ton schéma va avoir une interface en .198 et va voir ce .198 sur le réseau d'une de ses autres interfaces, donc ça n'ira pas.
De toutes les façons, mettre le même réseau sur les deux pattes d'un fw c'est de base incohérent, alors quand en plus c'est une question de flemme de passer changer une passerelle...

Non la raison principale c'est plutôt la solution en cas de panne du pare-feu.
 
Pour connaître l'ensemble du besoin :
Actuellement j'ai le réseau ci dessus sans pare-feu. Je souhaiterai faire un filtrage des sites web que visitent les postes (certains auraient accès à tout, d'autres auraient certains sites bloqués). Après avoir étudié diverses solutions (ACL sur routeur, solution payante de notre FAI...) j'en suis venu au fait qu'une distrib du style IPCOP sur un PC ancien semble le plus approprié.
Ca me dérange cependant de faire dépendre tout le routage sur ce routeur bricolé, sans avoir de solution rapide en cas de panne (on peut se passer de filtrage de sites quelques jours, mais pas d'Internet).
Puisque ma solution ne semble pas fonctionnelle, avez vous d'autres propositions ?

Salut,
pourquoi ne pas changer l'adresse IP du routeur.
Ex:
(Internet)---------(Modem/Routeur)-----------(Pare-feu)---------------(Réseau local)  
                 xxx           192.168.5.1       192.168.5.10      A.198                A.xxx  
Comme ça en cas de panne la seule adresse à changer est celle de ton routeur.

Ou si ton modem routeur a plusieurs interfaces, tu peux aussi en configurer une pour le secours avec l'ip que tu veux

ou alors, mettre en place un firewall transparent : pas d'adresse IP, tu le met entre ton routeur et ton switch, et hop, c'est transparent.
Il est en panne, un problème? tu veux le bypasser ? pas de problème, tu le débranche, et tu rebranche le routeur direct sur le switch et c'est OK.

Le routeur est managé par le FAI, toute demande doit faire l'objet d'une ouverture de ticket, rappel du technicien... + facture éventuelle de l'opération. En bref niveau réactivité et coût c'est pas génial
 

Voir ci-dessus
A moins de rajouter un routeur intermédiaire géré par moi même, mais pourquoi ne pas l'héberger sur la même machine que le firewall ?
 

Tu peux m'en dire un peu plus ? Tel que tu le décris c'est exactement ce que je veux faire, mais je ne sais pas comment le mettre en oeuvre  

google, "firewall transparent" ??

peut-être que son truc ne le supporte pas je me demande si supporté par tous les équipements maintenant ?

Il me semblait bien avoir vu l'option dans IPCOP : http://www.ipcop.org/1.4.0/en/admi [...] s_webproxy c'est bien ça ?
D'après ce que j'ai compris un firewall transparent n'a pas d'IP, ce qui est parfait, mais il me semble qu'IPCOP oblige à mettre une IP sur chaque interface.
Dans tous les cas je vais donc essayer de placer la machine IPCOP entre mon routeur et le LAN, avec le mode transparent activé (ce qui est le cas) et voir si le rôle de bridge + filtrage est bien rempli...

non ça c'est du proxy web

donc pas possible avec IPCOP ?

Salut Froozen.
 
Je pense pour ma part que si vraiment pour toi avoir l'entierretée de ton lan en IP fixe est important ! (Ce qui déjà pour moi est un non lieu imagines que tu te retrouveras normalement avec de plus en plus de pc, c'est reculer pour mieux sauter).
 
Alors tu n'as d'autre choix que de demander le changement de l'ip côté LAN de son modem.
 
Par contre, ce changement payant me choque un peu ... C'est une ligne de type SDSL ouverte sur un un réseau privé ?

Je n'ai pas encore demandé pour la changement de l'adresse du routeur, mais connaissant l'opérateur, ça risque d'être payant. Il s'agit d'une SDSL chez Orange Business.
 
Sinon, sur un autre forum on me conseille plutôt un Pfsense en tant que firewall (possibilité de le passer en firewall transparent), avec une patte DMZ sur laquelle il y aurait un proxy faisant office de filtrage web. Apparement, à l'aide d'une simple commande sur le firewall, on peut désactiver le proxy (en cas de panne). Ca nécessite deux machines mais ça semble correspondre à mes besoins tout en respectant les contraintes (pas de changement d'adressage, tolérance aux pannes).
 
Qu'en pensez vous ?

Fortigate de possible pour un firewall transparent avec possibilités de filtrer des URLs

Salut,
 
Il vous faut un bridge filtrant. Y'a des solutions chères (ciso, netscreen et co) ou :
 
Une machine avec 3 interfaces, et avec ceci : http://www.openbsd.org/faq/fr/faq6.html#Bridge
 
Pour la tolérance aux pannes, il vous faudrait une 2ieme avec ceci en plus : http://www.openbsd.org/faq/fr/faq6.html#CARP
 
Ni votre FAI, ni vos postes client ne verront de changement.
 
(la 3eme carte c'est pour l'admin à distance).

heu CARP c'est le VRRP-like ça sert à rien vu que son bridge est par définition transparent et n'aura pas d'ip flottante sur le bridge de prod.
 
Par contre s'il en met deux faut voir comment ça se comporte vis-à-vis des bpdu et si ça participe au STP ou pas.