Pb de migration des règles rc.firewall 1.3 vers 1.4b3

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Pb de migration des règles rc.firewall 1.3 vers 1.4b3

Messagepar lfraison » 31 Mai 2004 10:50

Bonjour à tous,

J'utilise ipcop depuis sa version 1.2 avec un vrai plaisir. J'utilise la version 1.3 et, gràce à Tom-Tom et à plusieurs autres, elle fonctionne parfaitement de puis un an !!!

J'ai voulu testé la version 1.4, car le réseau wifi et surtout les règles de gestion de la bande passante m'intéresse.

Jusqu'à la version 1.4b3 je n'avais eu que des problèmes... Enfin vendredi j'ai tout réinstallé et tout fonctionne à peu près maintenant.

Par contre depuis la migration j'ai deux problèmes : impossible d'accéder aux serveurs web virtuels du vert vers l'orange, et impossible d'envoyer un mail de l'orange vers l'orange !!!

J'ai un réseau vert de plusieurs postes avec 192.168.1.XXX
J'ai un réseau orange de plusieurs serveurs avec 192.168.211.XXX chaque serveur à une adresse IP publique fixe renvoyée par le transfert de ports d'IpCop et mon rc.firewall reflète cela (come indiqué en son temps par TomTom ):
/sbin/iptables -t nat -A POSTROUTING -s 192.168.211.XXX -j SNAT --to-source XXX.XXX.211.XXX

Si vous avez une idée sur la ou les règles iptable qui ont changés entre les deux versions merci de m'en faire part au plus vite...

Enfin si quelqu'un peut m'indiquer comment je peut limiter la bande passante en upload de chacune de me adresse ip des serveurs sur le réseau orange, merci de me l'indiquer.

Loïc :?
Avatar de l’utilisateur
lfraison
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 10 Sep 2003 00:00
Haut

Messagepar coolpok » 31 Mai 2004 12:19

Je te conseille pour le transfert de port de le rajouter via l'interface web ce sera beaucoup plus pratique pour le reste je sais po
"Je tiens à toi comme à mon bi-cross, j'entend par la que je peux te monter en tout terrain" PEF des robins des bois
Avatar de l’utilisateur
coolpok
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 21 Jan 2004 01:00
Localisation: environ bordeaux(33)
Haut

Messagepar Franck78 » 31 Mai 2004 12:29

Hello,

Commences par faire fonctionner sans modification de iptables.

=>de green vers [orange|red] IL N'Y A RIEN A OUVRIR

=>de machine orange à machine orange, ca passe pas par Ipcop sauf énorme erreur dans l'attribution des ip. voire le dns.

Et finalement la règle SNAT seule n'a aucun interèt puisqu'on ne sait pas ou elle est utilisée, ni les autres modifs qui vont avec, ni son but, ni l'adresse de remplacement !!!


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

Eléments de réponse

Messagepar lfraison » 31 Mai 2004 17:05

Bien entendu j'ai testé ipcop avec un rc.firewall d'origine et c'est identique...

Le but des ligne que j'ai rajouté est de ne pas utiliser la règle de masquerading par défaut. En effet, le masquerading est intéressant pour le réseau vert mais catastrophique pour le réseau orange si vous avez plusieurs ip fixes... J'utilise donc la règle ci-dessus pour chaque adresse ip fxes du réseau orange.

Effectivement, je pense aussi que cela vient d'un modification de fonctionnnement des DNS par rapport à la version 1.3.

Mes deux dns sont en réseau orange et ont donc une adresse ip publique et un transfert de ports du firewall (faites dans l'interface web, je précise bien cette fois-ci) vers leur adresse privée.

Sur les postes du lan et du firewall j'ai configuré l'accès dns vers les adresses privées et non publiques. Cela fonctionnait impec avec la 1.3...


Enfin, pour la bande passante avez-vous aussi une idée?

Loic :roll:
Avatar de l’utilisateur
lfraison
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 10 Sep 2003 00:00
Haut

Messagepar Franck78 » 31 Mai 2004 17:17

Je vais peut-être dire un bétise, mais maintenant Ipcop 1.4 reconnait plusieurs IP pour RED. Peut-être pas avec la 1.3 que je ne connais pas.

A partir de la, je ne vois pas trop quel soucis tu peux avoir à faire des transferts de ports vers tes serveurs en Orange.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

De nouvelles précisions

Messagepar lfraison » 31 Mai 2004 17:27

Je récapitule tout depuis le début car cela semble confu pour beaucoup.

1 - Le transfert de ports par l'interface web marche impec, le seul défaut est qu'il te propose toujours comme origine l'adresse ip de l'interface rouge : c'est le propore du masquerading... J'utilise donc des règles spéciales pour ne conserver le masquerading qu'aux requètes provenant du réseau vert. Pour les requettes du réseau orange elle sont toute identifiée par rapport à leur adresse ip source. C'EST TOUT il ne me semble pas nécessaire de s'apesantir sur ce sujet...

2 - Ce qui ne fonctionne pas c'est l'accès au serveur web virtuels du lan vers les serveurs orange

3 - Ce qui ne fonctionne pas non plus c'est l'envoi de mail d'un serveur orange vers un autre.

Je pense que tout tourne autour des résolutions DNS.

Mon serveur dns primaire et mon serveur dns secondaire sont tous les deux sur le réseau orange.

IPcop utilise un transfert de port pour leur transfert de ports publiques vers privés.

Par contre j'ai configuré les postes du lan, la connexion Ipcop ainsi que les serveurs orange pour résondre leurs requettes dns en utilisant les adresses privées.

J'espère être enfin plus clair...

Loïc :idea:
Avatar de l’utilisateur
lfraison
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 10 Sep 2003 00:00
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron