Pb de transfert de ports

par **ponim** » 11 Mars 2004 14:04

Salut, Je suis un newbie en linux donc j'aurais besoin que quelqu'un puisse m'éclairer sur certaines choses. D'avance: MERCI !! <IMG SRC="images/smiles/icon_bise.gif"> Voilà, ma config réseau: Serveur Win 2003-------->IPCOP------>LAN avec accès au net via proxy. Win2003(green): @ip 192.168.1.2 255.255.255.0 ipcop: green @ip 192.168.1.1 255.255.255.0 red @ip 10.13.20.254 Lan(red): @ip 10.13.20.1 Maintenant, pour des raisons de tests, je voudrais tout d'abord ouvrir tous mes ports au réseaux pour vérifié que je n'ai pas de perte de paquets, etc....(parce que sinon mon boss va $%#&!..surtout qu'il préfère Microsoft <IMG SRC="images/smiles/icon_frown.gif"> ) Donc pour ce faire j'ai fait(directement sur le serveur ipcop, en ligne de commandes): # iptables -P INPUT ACCEPT # iptables -P OUTPUT ACCEPT # iptables -P FORWARD ACCEPT Donc sur l'interface web, je vois bien que mes règles de transferts ont été ajoutées, mais par contre je n'arrive toujours pas à joindre un pc se trouvant sur le red depuis le green et vice et versa. Alors que tout ce qu'il me faut c'est aucune sécurité, pour pouvoir fermer les ports qui me sont inutiles après. (je sais, c'est con..mais mon boss préfère comme ça..) Je souhaiterais que mon interface green puisse tout faire sur la red, et que les pc's de la red puissse communiquer avec l'interface green comme s'ils étaient sur le même tronçon réseau. J'ai cherché partout sur le net, mais y a pas de doc sur l'ajout où la supression de route, et je dois dire que là je galère vraiment. Merci de bien vouloir me dépanner <IMG SRC="images/smiles/icon_help.gif"> De plus, j'ai un autre pb, c'est que j'arrive pas à appliquer un patch pour la version 1.3, je vais sur l'interface web--->systeme, j'indique que le patch est dans mon lecteur disquette, mais l'écran devient alors tout rouge qui me dit:"impossible de télécharger la liste des mises à jours dispo" Donc si quelqu'un pouvais m'expliquer ça aussi ça serait cool !! (je sais, je suis vraiment un débutant...mais bon je suis en train de m'y mettre avec acharnement ) <IMG SRC="images/smiles/icon_bawling.gif">

par **gla** » 11 Mars 2004 14:20

Ce que tu cherche à faire me semble être en contradiction totale avec le principe d'un Firewall... La sécurité c'est "tout est interdit et j'autorise certaines chose." La facilité c'est "J'autorise tout et j'oublie ensuite d'interdire..." A mon avis, commence déjà par savoir à quel type de service est destiné ton serveur (fichiers, web, ftp, mail...) et ensuite tu autorises juste les ports concernés.

par **ponim** » 11 Mars 2004 14:30

Merci Gla, je sais très bien ça..... Mais le truc, comme je l'ai dit plus tôt c'est que mon serveur est en phase de test et ouvrir tout pour testé si au niveau de la LS TRANSPAC et mon Vlan y aura pas de perte de paquets etc... Donc le mieux pour faire ça est que j'ouvre tout comme ça mon ipcop me sert seulement de passerelle (je veux aussi voir si il va tenir le choc, parce qu'il y a bcp de données qui vont transiter) Et ensuite j'en ferais une utilisation plus normal..en fermant tout et en autorisant 1 peu. Mais je préfère tenter le pire, pour voir si tout est ok, comme ça j'aurais pas de mauvaises surprise lors de la mise en production du serveur. Pourrais tu m'aider?

par **Franck78** » 11 Mars 2004 14:53

Tu aurais du continuer precédent post, "mode graphique.." Certains éviteront de poser des questions inutiles. Si tu rajoutes simplement tes trois lignes, tu changes le résultat en bout de course... Entre temps, il y a tout les reject et autres qui sont passés avant. Vide carrèment toutes les règles (-X -F) , ou renomme rc.firewall

par **ponim** » 11 Mars 2004 15:43

Ok, merci Franck78! Mais comme tu le sais déjà je suis un newbie donc je connais pas bien les commandes! Pourrais tu me les écrire? Merci

par **tomtom** » 11 Mars 2004 15:51

Question : pourquoi se prendre la tete avec un ipcop, qui va faire du nat, $%#&! le bazar, tout bloquer dans un sens et tout ouvrir dans l'autre... ...Alors que pout ton besoin, un truc genre freesco serait margement suffisant et bien plus simple à configurer ? t.

par **ponim** » 11 Mars 2004 15:59

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-03-11 14:51, tomtom a écrit: Question : pourquoi se prendre la tete avec un ipcop, qui va faire du nat, $%#&! le bazar, tout bloquer dans un sens et tout ouvrir dans l'autre... ...Alors que pout ton besoin, un truc genre freesco serait margement suffisant et bien plus simple à configurer ? t. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Etant donné que je veut faire du vpn, avoir un firewall et le tout sur linux, je pense qu'ipcop est la meilleure solution pour moi. Et comme mon résau va s'agrandir assez vite, je pense qu'au niveau fonctionnalité ipcop est le mieux. Maintenant c'est clair qu'il y aura toujours plus simple, mais est ce que ça sera aussi fiable? je sais pas. Est ce quelq'un pourrait m'aider? <IMG SRC="images/smiles/icon_bawling.gif"> Je comprends assez vite, et je suis motivé. PLEASE!!

par **tomtom** » 11 Mars 2004 16:15

Ben le gros truc c'est que typiquement, tu n'a spas besoin d'un nat ici.. De plus, les règles que tu veux mettre en place vont à l'encontre du standard IPCop.. Cela ne pose pas de problèmes, on peut tout modifier à la main, mais du coup tu perds beaucoup des avantages de l'ipcop, car l'interface graphique ne sera plus utilisable, non plus que les sauvegardes restaures, updates etc.. Ce genre de distro "all in one" supporte assez mal les modifications dans le moteur... Je pense vraiment qu'un freesco serat ideal pour ton objectif Sinon, une debian base que tu vas faire evoluer pour repondre à ton besoin, mais plus de boulot.. eventuellement, un truc sympa : gibraltar (www.gibraltar.at). Mais gare à la license tres speciale... SI tu veux l'utiliser ne milieu pro avec l'utilitaire de config web, c'est pas gratuit.. <a href="http://gd.tuwien.ac.at/opsys/linux/gibraltar/iso-images/copyright" target="_blank">http://gd.tuwien.ac.at/opsys/linux/gibraltar/iso-images/copyright</a> t.

par **ponim** » 11 Mars 2004 16:20

Ok, merci je vais aller voir puisqu'apparement ce que je veux est pas adapté <IMG SRC="images/smiles/icon_frown.gif"> Parcontre si qq'un peut m'aider pour les fix, etc, je veux bien!!

par **ponim** » 11 Mars 2004 16:46

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-03-11 15:20, ponim a écrit: Ok, merci je vais aller voir puisqu'apparement ce que je veux est pas adapté <IMG SRC="images/smiles/icon_frown.gif"> Parcontre si qq'un peut m'aider pour les fix, etc, je veux bien!! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Edit: Non, désolé mais ça me convient pas. Si quelqu'un pouvait me donner une commande pour autoriser toutes les routes ça serait cool. Merci.

par **tomtom** » 11 Mars 2004 16:53

iptables -I FORWARD -i $interface_d_entree -o $interfcae_de_sortie -j ACCEPT Tu specifies $interface_d_ebtree et $interface_de_sortie pour choisir le sens ou tu veux passer... Mais ce n'est pas une bonne solution ! t.

par **ponim** » 11 Mars 2004 18:44

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-03-11 15:53, tomtom a écrit: iptables -I FORWARD -i $interface_d_entree -o $interfcae_de_sortie -j ACCEPT Tu specifies $interface_d_ebtree et $interface_de_sortie pour choisir le sens ou tu veux passer... Mais ce n'est pas une bonne solution ! t. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Merci Tomtom! Je l'ai fait mais ça marche pas, j'arrive toujours pas à pinguer une machine du red à partir du green, toujours pas avoir internet ou quoi que ce soit! j'ai fait: iptables -I FORWARD -i eth0 -o eth1 -j ACCEPT (et vice et versa pour les interfaces d'entrée/sortie) Est ce que je me suis trompé qq part?

Pb de transfert de ports

Qui est en ligne ?