Bonjour,
Le responsable réseau de ma boite à eu 10 adresses ip v4 publique.
Nous utilisons une business livebox (en mode transparent) sur une ligne sdsl.
Nous souhaiterions attribuer une ip pour chaque serveurs web que nous hébergeons.
 
Quel genre de routeur/firewall peut gérer entre 5 et 10 ip externe sur une seule ligne physique pour faire du nat entre ip publique et privé?
pour résumé:
 
adresse publique
aaa.aaa.aaa.aaa --|-->Business Livebox ------>?Quoi utiliser?---------|------>serveur1 192.168.1.10
bbb.bbb.bbb.bbb --|                                     comme firewall            |------>serveur1 192.168.1.20
ccc.ccc.ccc.ccc --|                                     ou routeur                  |------>serveur1 192.168.1.30
etc...
 
L'adresse IP aaa.aaa.aaa.aaa devra être redirigée vers 192.168.1.10
L'adresse IP bbb.bbb.bbb.bbb devra être redirigée vers 192.168.1.20
L'adresse IP ccc.ccc.ccc.ccc devra être redirigée vers 192.168.1.30
etc...
 
Faut-il faire dur NAT statique ou dynamique?
Quel genre de routeur ou/et firewall utiliser? Quelle gamme cisco par exemple?
Merci pour votre aide.

en cisco je pense que même avec avec du 87x tu dois pouvoir faire ça, c'est vraiment quelque chose de basique. Et plutôt que de rajouter du NAT tu pourrais faire du routage directement (en filtrant bien sûr les ports comme il se doit).

hello,
 
On a configuré un firewall netgear PROSAFE FVS318V3 avec du NAT PAT pour rediriger vers un serveur. on regle une adresse ipwan et la passerelle venant de la live box et on redirige vers un serveur voulut avec du nat pat.
Mais si je mais 4 autres serveur web avec le premier,Le nat pat fonctionne aussi. Mais les gens qui veulent se connecter sont obligé de saisir l'adresse du serveur + le port pour tomber sur le bon serveur web.
 
Alors pour eviter cela, le responssable info de ma boite à demandé 10 @IP publiques qui arrive par la ligne sdsl de la business livebox. Et il voulait créer un nom de domaine par adresse IPWAN afin de contacter chaque serveur par un nom de domaine différent. Et non plus joindre tout les serveurs par une même adresse avec du NAT/PAT.Actuellement nous utilisons une seul @ipwan sur les 10 @ipwan et une deuxieme nous sert de passerelle avec la business livebox (en mode transparent).
 
Donc, Si je branche ma live box sur un routeur j'aurais qu'un seul câble qui va arriver sur le routeur au port wan.
Mais d’après ce que j'ai pu lire sur les commandes ios, pour faire du nat statique il faut attribuer les adresses wan à chaque port relié avec l’extérieur. et idem avec les port utilisé en interne avec les ip privées. Le soucis, c'est que je n'est pas 10 entrée wan sur un routeur 87x cisco. ou alors peut-on attribuer plusieur adresse wan sur un seul port wan du routeur? Dans ce cas quelless sont les commandes ios car tout ce que j'ai vu etait pour une seul adresse ipwan.
 
J'ai l'habitude de ne voir qu'une adresse wan par ligne adsl physique d'habitude!
 
Alors quand on en reçois 10 par une même ligne sdsl je suis un peu perdu car je ne comprend pas comment ça peut fonctionner.

ip address a.b.c.d 255.255.255.255
ip address e.f.g.h 255.255.255.255 secondary
ip address i.j.k.l 255.255.255.255 secondary

et ainsi de suite, non ? et ensuite définir tes translations d'adresse.
note que j'ai jamais fait d'installation de ce genre, mais je pense que ça marcherait comme ça.

Quand tu as plusiseures IP qui arrive de ton provider, tu n'a toujours qu'un cable réseau qui sort de l'équipement ,)
 
Sur ton firewall, tu doit utiliser la patte outside pour ton entrée.
 
Ensuite du configure des statics...
 
C'est tout simple !
 
Sur mon Cisco ASA ca donne ca :
 
static (inside,outside) X.X.X.108 Y.Y.Y.1.6 netmask 255.255.255.255
static (perimetre,outside) X.X.X.100 Z.Z.Z.2 netmask 255.255.255.255
static (perimetre,outside) X.X.X.102 Z.Z.Z.15 netmask 255.255.255.255
static (perimetre,outside) X.X.X.101 Z.Z.Z.18 netmask 255.255.255.255
 
Tu blinde avec les ACl Qui vont bien et ca roule
 
access-list outside-acl extended permit tcp any host X.X.X.99 eq www
access-list outside-acl extended permit icmp any any echo-reply
access-list outside-acl extended permit icmp any any echo
access-list outside-acl extended permit tcp any host X.X.X.100 range XXX XXX
access-list outside-acl extended permit tcp any host X.X.X.102 eq ftp
access-list outside-acl extended permit tcp any host X.X.X.101 eq 8080
 
Attention quand meme, habituelement, tu ne peux pas utiliser les deux IP extreme de ton range,
l'une est utilisée par l'equipement réseau du provider, l'autre (la dernière du range) n'est pas utilisable non plus.
 
Don't worry c'est le B.A.BA

Sinon, avec une seule IP publique, tu peux sans problème faire pointer tes différents noms de domaine avec un proxy (Apache, par ex).
 
Tu fais du NAT sur le port 80 vers ton serveur proxy, puis pour chaque domaine, tu crée un virtualhost dans Apache qui ressemble à ça :  
 
<VirtualHost *>
 ServerName   intranet.ton-domaine.com
 ServerAlias  intranet.ton-domaine.com
 #ErrorLog   /var/log/apache2/intranet.ton-domaine.com.log
 #CustomLog   /var/log/apache2/intranet.ton-domaine.com.log common  
 ProxyPass   / http://intranet.ton-domaine.local/
 ProxyPassReverse  / http://intranet.ton-domaine.local/
 ProxyRequests  off
 
 <Proxy *>
  Order   deny,allow
  Allow   from all
 </Proxy>
</VirtualHost>
 
La seule contrainte est qu'il faut que ton site soit accessible en interne par l'adresse http://intranet.ton-domaine.local
 
Chaque domaine local peut pointer vers différents serveurs, ça ne pose aucun problème.
 
@+
 
Fred

 
ok merci pour la commande qui ajoute plusieurs ipwan. Faut que je me penche un peu plus la dessus et que je test.

 
Ok, apparement ça ce fait avec du ASA mais comme je débute en cisco, je me vois mal m'embarquer dans ce genre de matos, surtout que j'ai déjà assez à faire pour comprendre les switch et routeur
 
Je cherchais donc un firewall plus grand publique genre netgear qui me permette de gérer ça !(vu que je suis en alternance et que je suis le seul dans ma boite à toucher un peu à du cisco).

 
Effectivement j'avais vu que l'on pouvais utiliser du reverse proxy pour résoudre ce problème. Mais le soucis, c'est que d’abords je ne maitrise pas du tout apache (linux) et qu'ensuite je ne comprends pas non plus le fonctionnement du reverse proxy que tu semble utiliser!.
Ce que je semble comprendre, c'est que:
- A l'aide d'un routeur il faut nater toute mes ipwan vers le proxy sur le port 80 standard au http.
- Ensuite on crée un virtualhost (intranet.ton-domaine1.com, intranet.ton-domaine2.com, etc...)dans apache (1 pour chaque serveur à joindre).
- Pour ProxyPass / http://intranet.ton-domaine.local/ et ProxyPassReverse  / http://intranet.ton-domaine.local/ =>c'est apache qui crée ses nom de domaine à joindre en interne?
ProxyPass=nom de domain coté local?
ProxyPassReverse=nom de domaine coté publique? celui que vont joindre les clients?
 
- Pour que le site soit accessible en interne par l'adresse http://intranet.ton-domaine.local il faut créer un serveur DNS en interne et faire la correspondance entre l'@IP des serveurs et leur nom non?
 
Dans tout ça, je ne vois pas comment à partir d'un nom de domaine donné par notre FAI par exemple, on arrive sur le serveur voulus!
Une personne va donc entré le nom de domaine de mon entreprise et va donc etre redirigé vers le proxy grace au NAT (PAT pas utilisé).
apache va voir une requête de connexion à un serveur arriver. MAis comment sait-il vers quel serveur le client veut se connecter? (faut-il désormais donner aux clients les adresses des virtalhost crée dans appache plutôt que le nom de domaine ou ipwan de ma boite ?) Si oui, alors comment les les virtualhost peuvent-ils être connus du net?
Déjà sèche ici!

Quand on met des virtualhosts l'intérêt c'est de les créer identiques aux noms de domaines hein

autrement dit pour chaque virtualhost il y aura un enregistrement identique dans ton serveur DNS.

La solution Proxy reverse fonctionne très bien. Ai terminé de l'installer today.
 
1 @ip publique
2 sous domaines (dans mon cas).
 
webmail.mondomaine.fr pointe sur le serveur de mail.
test.mondomaine.fr pointe sur un autre serveur.
 
Comme l'a souligné Misssardonik, suffit d'avoir un DNS de configuré & rulez.

Et après on s'étonne qu'il n'y a bientôt plus d'Ipv4