Firewall transparent / Bridge

MrLulu

30 mars 2021 à 12:31:33

Bonjour à tous, j'ai une petite question concernant le fonction d'un firewall transparent (ou bridge).

En réalité, j'aimerais juste savoir si je comprends bien le principe de ce type d'implémentation ^^.

La configuration est la suivante :

- Switch L2 : VLAN 10 Provider / VLAN 20 Firewall - Connecté au coeur

- Routeur Provier : VLAN 20 (HSRP 192.168.10.1) - Connecté au switch

- Firewall : VLAN 10 et VLAN 20 - Connecté au switch

Sur les firewall, un bridge est configuré entre les deux interfaces : VLAN 10 - IN / VLAN 20 - OUT.

Le cœur de réseau à une route (0.0.0.0/0 192.168.10.1). Quand je regarde la table d'adresse MAC sur le switch, elle me dit que l'adresse MAC associée à 192.168.10.1 (celle du routeur master) est vu derrière deux ports :

- Celui dans le VLAN 20 vers les firewalls

- Celui dans le VLAN 10 vers le routeur master

Donc jusqu'à la, normal. Finalement, grâce au bridge, il y a deux VLAN différents, mais un seul subnet (192.168.10.0/24). À noter que le subnet 192.168.10.0/24 est déclaré sur le cœur de réseau dans le VLAN 10.

Mon interrogation est la suivante :

1 - Lorsqu'un paquet doit sortir vers le WAN, le cœur de réseau va le transmettre à sa route part défaut, qui est 192.168.10.1.

2 - Via sa table CAM, il va regarder ou est connecté le client (donc la mac 192.168.10.1). Mais la, il va trouver le même résultat celui au-dessus :

- Port vers les firewalls > VLAN 10 > Mac address de 192.168.10.1

- Port vers le routeur > VLAN 20 > Mac address de 192.168.10.1

3 - Étant donnée que l'adresse de destination (192.168.10.1) est dans le VLAN 10, et que le cœur dispose d'une SVI dans ce VLAN, je suppose que le trafic va donc passer par les ports dans le VLAN 10 ?

Donc, sans modifier le routage, le trafic va passer par l'interface VLAN 10 (IN) du firewall, et ressortir vers l'interface VLAN 20 (out). C'est bien ça ?

-
Edité par MrLulu 30 mars 2021 à 12:31:49

FantasMaths

30 mars 2021 à 23:32:48

Salut,

Est-ce que tu peux faire un petit schéma pour illustrer ton réseau ? Histoire d'y voir un peu plus clair

MrLulu

31 mars 2021 à 12:41:00

Voila

j'espère qu'il sera assez compréhensible

FantasMaths

31 mars 2021 à 17:57:41

Hello, merci pour le schéma

Pour moi, quand ton Core Swtch reçoit un paquet destiné à être forwardé vers ta gateway, il procède comme ça :

L'IP vers qui forwarder (obtenue dans la table de routage) est dans un subnet d'une de mes interfaces, le subnet 192.168.10.0/24. Quelle est sa mac ?
S'il l'a dans son cache ARP, il connait l'adresse mac. Mais comment l'obtient-t'il ?
Sinon, il envoie un ARP request sur cette interface (donc sur le VLAN 10). La requête passe par les firewall (qui sont en bridge donc transparents pour ARP), et tes Routeurs répondront avec la mac virtuelle de ton vrrp. Ton core switch peut peupler son cache ARP avec l'adresse mac répondue.
Maintenant, ton core switch a tout ce qu'il faut pour transmettre la requête : l'interface, et la mac destination !

Là où ça pourrait mal se passer, c'est si l'adresse de l'interface VLAN 20 du core switch est située sur le même subnet. Dans ce cas, selon ta configuration, le trafic peut être transmis via l'une ou l'autre interface de ton core switch, donc soit par le VLAN 10 soit par le VLAN 20 (auquel cas tu contournes ton firewall).

EDIT: d'ailleurs ton "core switch" serait plutôt un "core router" non ?

-
Edité par FantasMaths 31 mars 2021 à 17:58:41

MrLulu

31 mars 2021 à 21:46:39

L’adresse IP qui est utilisée pour forwarder le trafic est celle qui est déclarée sur la SVI (192.168.10.10).

sur le core, le vlan 20 n’est que présent en L2, aucune SVI n’est configurée.

Pour ce qui est de la communication sur deux subnet , c’est bien ce qui me faisait peur ...

le core est un modèle Cisco 6500-E, donc pour moi c’est bien un core switch ? c’est lui qui fait office de switch de distrib + intervlan.

-
Edité par MrLulu 31 mars 2021 à 21:58:24

FantasMaths

31 mars 2021 à 22:59:47

Ah oui au temps pour moi ! Je ne connaissais pas les Switch L3.

De ce que j'ai pu -rapidement- lire je pense que mon raisonnement est bon, mais il n'est pas exclu que je ne sache pas quelque chose de basique qui ruine tout du coup j'espère ne pas avoir raconté n'importe quoi !

MrLulu

1 avril 2021 à 8:34:44

En fait, on est bien d'accord que la com'va se faire via le VLAN 10 jusqu'au firewall, puisse le trafic va passer par le VLAN 20 (entre les firewall et le routeur) ? Grâce à la configuration du bridge, c'est le même subnet pour les deux VLAN (Ex : 192.168.10.10 est dans VLAN 10, 192.168.10.1 est dans VLAN 20).

Plus précisément, je pense que le trafic par du core switch dans le VLAN 10 et passe par le firewall, car il voit l'adresse MAC de 192.168.10.1 derrière leurs ports.

Ensuite, le firewall détecte que l'adresse Mac de destination (passerelle) et sur le deuxième segment qu'il a (VLAN 20, interface OUT) et transfert dans le trafic vers ce VLAN , et enfin le trafic arrive au routeur master ?

-
Edité par MrLulu 1 avril 2021 à 9:08:05

FantasMaths

1 avril 2021 à 9:52:36

Yes pour moi c'est ça aussi !

MrLulu

1 avril 2021 à 11:17:27

Merci pour ton aide