Acces depuis un sous reseau à la DMZ

[ed3000]

Voila je gère un domaine comportant trois sous réseau, l'accés à internet se fait par une passerelle/firewall IPCOP. <BR> <BR>Ma problématique est la suivante : <BR> <BR>Le réseau green qui se trouve en 192.168.30.0/24 accède à internet et à la DMZ <BR>les deux sous réseaux sont reliés au réseau green par des routeurs CISCO et des lignes spécialisés, ils ont bien accés à tout le réseau green (interface green d'ipcop comprise), ils ont respectivement les adresses 192.168.1.0/24 et 192.168.31.0/24 <BR>la DMZ se trouve en 192.168.32.0/24. <BR>ces deux sous réseaux ne peuvent ni accéder à la DMZ ni à internet... <BR> <BR>Aprés des recherche sur ce site et d'autres j'ai compris que seul le réseau green pouvait par défaut avoir accés à la DMZ et à internet... <BR> <BR>J'ai donc modifié mes règles IPTABLES de la manière suivant : <BR> <BR>iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT <BR>iptables -A OUTPUT - s 192.168.1.0/24 -j ACCEPT <BR>iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT <BR> <BR>J'ai fait la même manipulation pour les deux sous réseaux. <BR> <BR>Cela n'a pas résolu mon problème.. <BR>Avez-vous une solution ??? <BR>

[trollx]

SAlut <BR> <BR>Je n'ai pas de soluce car jamais testé mais va voir de ce coté, ça te donneras pitetre des idées : <!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=103" target="_blank">http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=103</a><!-- BBCode auto-link end -->

[Franck78]

Ton cisco route bien vers ipcop tout ce qu'il recoit et qui <BR>n'est pas pour GREEN ? <BR> <BR>

[tomtom]

Il faut <BR> <BR>1- Que les cisco aient leur route par defaut vers l'adresse green de IPCop <BR> <BR>2- Que IPCop connaisse les routes vers les reseaux distants <BR>(donc 2 routes à ajouter dans IPCop !!) <BR> <BR> <BR>ex : sur le cisco 1 (une interface en 192.168.1.251, une en 192.168.30.251) <BR>ajouter la route par defaut vers ipcop (192.168.1.1 par exemple) <BR> <BR>sur IPCop : <BR>route add -net 192.168.30.0 netmask 255.255.255.0 gw 192.168.30.251 <BR> <BR> <BR> <BR> <BR>etc... <BR> <BR>Deplus, pour l'acces au net, verifier les règles iptables (mais je pense qu'elles sont OK), et eventuellement les ACL squid <BR> <BR>t. <BR> <BR>

[ed3000]

Merci pour vos réponses... <BR> <BR>Pour ce qui est des routes je les avaient bien ajoutées... <BR> <BR>Par contre si je met comme passerelle par defaut sur mes routeurs l'adresse d'ipcop, cela risque de me poser des problèmes de routage vers les autres sites distants du groupes (rebond vers ipcop pour retourner sur les autres sites..) <BR> <BR>Exemples je suis sur le réseau 192.168.31.0/24, je veux acceder au site 192.168.1.0/24, si je met ma passerelle par défaut en 192.168.30.23 (adresse interface green IpCop) je suis obligé de passer systématiquement par là ???.... <BR> <BR> <BR>Autres infos : j'arrive à Pinguer l'interface green d'ipcop sans problème depuis mes sites distants. Je penses donc que c'est bel et bien IPCOP qui me bloque l'accés à la DMZ depuis ces sous réseaux... <BR> <BR>

[Franck78]

Le boulot d'un routeur c'est : router. <BR> <BR>Pour ca on lui a collé des tas de protocoles : rip, ospf, igrp,...., <BR> <BR>Le statique c'est vraiment en dernier lieu. <BR>Donc laisse tes routeurs décider, et indique seulement <BR>dans l'un d'eux qu'il existe un route pour telle destination <BR>à travers IPCOP. Après ils se demerdent ! <BR> <BR> <BR> <BR>_________________ <BR>Franck <IMG SRC="images/smiles/icon_wink.gif"><BR><BR><font size=-2></font>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-03-16 11:59, ed3000 a écrit: <BR>Par contre si je met comme passerelle par defaut sur mes routeurs l'adresse d'ipcop, cela risque de me poser des problèmes de routage vers les autres sites distants du groupes (rebond vers ipcop pour retourner sur les autres sites..) <BR> <BR>Exemples je suis sur le réseau 192.168.31.0/24, je veux acceder au site 192.168.1.0/24, si je met ma passerelle par défaut en 192.168.30.23 (adresse interface green IpCop) je suis obligé de passer systématiquement par là ???.... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>NON ! <BR> <BR>C'ets une route par defaut, ce qui sognifie : "Si je ne trouve aucune route, je passe par là". (d'ailleurs, sur un cisco, ce n'est pas "default gateway" mais "Gateway of last resort", ce qui est plus parlant <IMG SRC="images/smiles/icon_wink.gif"> ) <BR> <BR>La route par defaut doit forcement etre celle qui permet de sortir sur internet. <BR> <BR>En revanche, tu dois avoir une route aussi pour chacun des réseaux distants, mais ça tes routeurs doivent l'epprendre par un protocole de routage, à moins que les routes n'aient été rentrées toutes à la main.... <BR> <BR>Pour verifier tes routes, et savoir qi c'ets une règle IPCop qui bloque, fais un traceroute vers une ip internet ( a partir du cisco, ou d'un poste d'un site distant). <BR>Si tu passes par le cisco puis le ipcop et que ca bloque, c'ets un probleme de regle. <BR>Sinon, tes routes sont fausses. <BR> <BR>t. <BR>