Bonjour a tous,
Je suis stagiaire dans une entreprise en tant que technicien réseau.
j'ai pour mission d'installer un pare feu (juniper SSG-5-SB)
Un parfe feu our filtrer le traffic un sein d'un MEME sous réseau.
d'un coté XXX.XXX.XXX.1 à XXX.XXX.XXX.4
et de l'autre XXX.XXX.XXX.5 a tout le reste.
Merci d'avance pour vos réponse =)

Si tu ne poses pas de question, tu n'auras pas de réponse.

Désolé =(
Ma question est :
Comment je fait pour réaliser un filtrage sur le meme sous réseau?

Un diagramme du réseau pourrait aider à répondre. Mais d'un même sous réseau j'imagine que ton firewall doit être configuré en mode transparent (L2 donc).
Mais pourquoi filtrer le trafic d'un même réseau ?

Je ne connais pas le L2 mode ( juste appercu dans une notice)
Qu'est ce que c'est? et est ce que cela peut ressoudre mon probleme.
Je doit filtrer le même réseau parce que je ne peut pas changer les adresse (sinon j'aurai fait deux sous réseau different )
que ce sous réseau est partagé avec d'autre service de l'entreprise.

En terme simple :  il faut le trafic en question transite par le firewall. Si tous tes équipements sont reliés via un switch en amont, c'est baisé car le trafic sera switché et le firewall ne pourra rien faire.

Ensuite, L3 = routage IP, L2 = switching ethernet (généralement). Généralement les firewall opèrent en mode routé.

Mais tu veux/dois filtrer quoi entre ces machines ?
Si c'est bloquer le trafic complètement tu peux utiliser des PVLAN et ça se fait directement sur ton switch sans passer par de firewall... Bref il manque des infos là.

Tous mes équipement ne sont pas sur le switch ^^
En fait sur une interface du firewall j'ai le traffic "entrant" d'internet en ..xxx.1 ( qui est en faite l'arrive d'un VPN que je ne doit pas toucher)
Et sur l'autre interface du firewall le réseau local (d'une centaine de machine adresséés de .4 a .126 ).
sinon j'ai pas tout compris sur le L2 mode
 
edit : je ne doit autorisé que quelque protocole (FTP, http ) sur le réseau local venant d'internet.

Donc le filtrage se fait entre Internet et ton LAN et non pas entre ton LAN et ton LAN ?!

Si parce que internet viens ( par un VPN) du meme sous réseau que mon réseau local.

Fait un dessin

Donc ton parefeu est surement déjà en transparent (L2)

je ne pense pas que le pare feu soit déja en L2 mode car il sort de sa voite .
je suis en train de faire le schéma^^

Tu aurais du commencer par dire que tu voulais filtrer tes postes d'un même sous réseau mais séparés par une liaison VPN, ça aurait donné déjà beaucoup plus de sens à la question.

je ne peut pas (encore ) poster d'image ( site bloqués>< )
mais est ce que vous pouvez m'en dire plus sur le L2 mode svp? =)

                |-------------|           |                                           |
BOX (pro)    |                  |           |                                            |
--------->--| PARE FEU     |-->-----|  réseau local en xxx.5 à xx.126 |
...xxx.1       |-------------|
internet
 
 
en attendant ...

Les pattes WAN et LAN de ton firewall ont-elles des adresses IP ?

oui je peut leur en attribuer facilement

Ce n'est pas la question, est-ce qu'actuellement il y en a de configurées (des adresses IP) (autre que celle de management) ?

oui oui , elle sont deja configurées
edit : Lorsque j'essaye de mettre l'adresse ip sur la 2eme interface
j'ai lerreur suivante :
 
change pre-checking failed
interface illegal overlapping subnet

Bizarre alors, il a l'air d'être configuré en L3...
Bref, les règles du firewall sont simples à gérer dans ton cas : WAN vers LAN => accept only HTTP, FTP.  
Est-ce que Internet est accessible également via le port WAN (en plus du VPN donc) ? Car il faudra filtrer plus précisément le réseau autorisé, genre : From WAN, Network (ton réseau local distant) To LAN (et ici pas forcément besoin de spécifier le réseau sauf si c'est uniquement que sur certaines machines).

Bah voilà, c'est pour ça que ça me semblait bizarre ton affaire.
Tu ne peux pas avoir des adresses IP du même subnet sur 2 interfaces différentes, donc pour moi ton firewall est en mode transparent.
Il doit te l'indiquer dans sa config, par exemple sur un firewall Fortigate j'ai le choix entre un mode Transparent ou un mode NAT.

Sur mes differente interface j'ai une case indiquand Layer3 ( couche 3 j'imagine ?)

Ouai j'ai dis une connerie. Je pense que la passerelle de tes clients LAN est l'adresse IP WAN de celle-ci et que ces clients sont tous connectés via le switch au cul du firewall.
Bref, c'est pas le plus important ici.
La création d'une règle sur ton firewall doit pas être compliqué à effectuer via le GUI..

Pour la création des règles c'est facile. (surtout avec la GUI)
Mais est ce que je pourrai filtrer selon l'addres IP.
Par exemple tous ce qui arrive sur tel port (du pare feu j'entend )( addrese ip en .1 ou .2 par ex) peut arriver sur le réseau local ( en .5 à .126)

Tu dois pouvoir le faire en passer par la création d'objet, en gros tu définis un objet du parefeu qui inclus les adresses ip .1 à .5 et un autre objet qui inclus les adresses .5 à .126. Et ta règle tu la bases sur ces objets.

Je peut créer des objets, mais pas sur une plage d'adresse.
Sur l'interface GUI, je e peut rentrer qu'une adresse IP( et son masque)
edit :  
J'ai peut-etre un début de solution:
j'ai mis dans le meme bgroup du pare-feu, deux interfaces ( eth0/4 et eth0/5) avec pour adresse du bgroup xxx.xxx.xxx.1/24
je réalise des tests avec deux machine raccordés directement sur le pare-feu. Dont les adresse sont fixées ( une en .10 l'autre en .15) avec xxx.xxx.xxx.1 comme passerelle par défault.
Soucis : le ping marche dans un sens mais pas dans l'autre ><
(Apres je pourrai établir mes regles selon l'adresseIP comme l'as dite teflon )
rectification: ca filtre rien du tout comme ca =(

J'avoue que je ne comprends pas comment est structuré ton réseau.
Avoir de par et d'autre d'un routeur deux réseaux identiques c'est pas jouable.

Y'aurai pas quelque chose qui me permettrait de translater ce qui arrive en .1 ( coté UNTRUST donc) par une autre adresse ip dispo.
comme ca je pourrai faire la distinction entre les deux.

Mais ça peut pas être du untrust puisque ça vient de l'autre côté du VPN donc c'est toujours ton réseau !
Bref comme dit précédemment, sans schéma du réseau, c'est plutôt difficile de t'apporter de vrais réponses.

Internet arrive a partir d'une box pro ( en xxx.xxx.xxx.1) ca devrait être a elle de faire la fonction pare feu. Cependant je n'ai pas acces ( et personne d'ailleurs ) a la conf de la box.
C'est pour ca on 'as demadné d'intercaler un pare feu entre la box et le réseau local pour remplir cette fonction.

Il y a des utilisateurs connectés en VPN du côté du WAN, n'est-ce pas ?
Si oui, pourquoi sont-ils configurés avec le même adressage IP ?

Il y a d'aute utilisateurs oui.
Chaque site est connecté par VPN , et chaque site a un réseau ip different.
Mon probleme est local.Je doit configurer un pare feu qui devrait être dans la box.

Je ne sais pas pourquoi je m’entête sur ton problème mais bref.
Écrit de manière claire et française ce que tu dois filtrer/autoriser entre qui et qui (sans termes techniques), tu l'expliques vraiment mal et tu sembles ne pas avoir trop de connaissances ce qui n'aide pas dans l'affaire.

l'énoncé est pourtant simple:
Comment filtrer le traffic avec un pare feu sachant que sur les deux interfaces réseau il y a le meme sous réseau :10.xxx.xxx.0/24
ps: je suis étudiant pas expert désolé

Si étudiant, j'imagine que c'est en info, donc tu dois pouvoir quand même t'exprimer un tant soit peu clairement dans ce domaine
 
J'essaye de résumer :
Ta box a une adresse en 10.0.0.1/24, elle est branchée sur le port WAN de ton FW. De l'autre côté de ton FW tu as tes PC/serveurs qui sont sur le même réseau soit 10.0.0.0/24 branchés depuis le/les ports LAN. Tu as des serveurs HTTP/FTP sur ce réseau interne et tu souhaites que des utilisateurs extérieurs (internet) puissent accéder à ces serveurs uniquement sur ces services HTTP/FTP.
Correct ?

Correct=)
Mon soucis est que sur le pare-feu, je ne peut pas indiquer des interfaces avec des adresse du meme sous réseau.

Les postes sur ton LAN ont quelle adresse de passerelle ? l'adresse de ta box ?

oui la passerelle par default est celle de la BOX

Ok donc il n'y a pas de problème au niveau du réseau. Ton firewall est pour ainsi dire passif, il filtre uniquement ce qu'il voit rentrer et/ou sortir.
Si tu as par exemple un serveur HTTP en local et que tu souhaites que des utilisateurs externes (internet) puissent y accéder, tu dois faire du PAT (Port Address Translation) sur ta box et ça tu dois le demander à la société qui la gère (puisque personne n'y a accès chez vous). Traduit en français : toutes les requêtes HTTP arrivant sur ton adresse IP externe (celle fournie par ton FAI) doivent être redirigées sur ton serveur HTTP. Et dans ce cas ton firewall ne sert à rien puisque ce n'est pas du filtrage que tu souhaites faire mais de la redirection de ports.