[RESOLU] Serveur en DMZ, qu'est-ce qui bouche ?

par **kna** » 17 Mars 2005 19:24

Je reviens avec mon pb d'accès à un serveur web en dmz

Dans le ST510 relié à la carte rouge (IP 10.0.0.1), j'ai mis une règle NAT "default IP:80 -> 10.0.0.1:80"
serveur par défaut pour les cnx entrantes = 10.0.0.1.

Dans les transfert de ports IPCOP, j'ai mis une règle "TCP DEFAULT IP : 80(HTTP) => 192.168.0.2 : 80(HTTP)
192.168.0.2 est l'IP du serveur web branché sur la carte orange (IP 192.168.0.1)

Dans le journal du pare-feu, je trouve ceci quand je cherche à joindre mon serveur web depuis l'extérieur

OUTPUT eth2 TCP 82.127.xx.xxx 22212 ::::: 192.168.0.2 80(HTTP)

Eth2 correspond bien à la carte rouge, 82.127.xx.xxx est l'IP avec laquelle j'accède au net depuis une autre ligne ADSL, 192.168.0.2 est l'IP du serveur web en orange.

Qu'est-ce qui peut coincer ? Os court...

Merci.

par **kna** » 17 Mars 2005 23:41

Mes posts sont invisibles, ou ils sentent le gasoil ?

Merci les gars....

par **CeRberus_Lyon** » 18 Mars 2005 12:39

Il faudrait faire un iptables -L -n -v pour voir le paramétrage de tes iptables tu devras alors voir ta redirection NAT de ton interface rouge vers l'orage. si ce n'est pas le cas il faut que tu redirige graphiquement ou à la mano ta requête entrante sur le port 80

Code: Tout sélectionner: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.0.2

192.168.0.2 étant l'ip de ta DMZ? Si j'ai tout compris.

Essaye comme ça déjà.

par **kna** » 18 Mars 2005 15:02

CeRberus_Lyon a écrit:Il faudrait faire un iptables -L -n -v pour voir le paramétrage de tes iptables tu devras alors voir ta redirection NAT de ton interface rouge vers l'orage. si ce n'est pas le cas il faut que tu redirige graphiquement ou à la mano ta requête entrante sur le port 80
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.0.2

Haaaa, merci de ton aide

Et merci pour la synthaxe, je n'y connais rien en ce domaine :cry:

Il y avait bien une règle de routage valable, et le fait de la virer depuis l'interface graphique et d'en rajouter une selon la commande ci-dessus ne change rien. Toujours impossible de se connecter au serveur web en dmz depuis l'extérieur.

192.168.0.2 étant l'ip de ta DMZ? Si j'ai tout compris.

C'est l'IP du serveur web dans la DMZ. Eth2 interface rouge est elle en 192.168.0.1

Doit y avoir un bintz, probablement dans la config de l'interface rouge..

Sais-tu ou je pourrais trouver des exemples de config, ou alors comment paramètrerais-tu l'installation suivante ?

- IP fixe Wanadoo, on va dire 82.127.xxx.yyy
- ST Home ethernet modifié ST Pro, IP lan 10.0.0.138
(Mêmes pbs avec un autre ST Home modifié ST510)
- IPCOP : eth2 rouge, eth1 orange, eth0 green

Pour le moment, le ST Pro est en DHCP auto, eht2 rouge IPCOP en DHCP prend bien l'IP 10.0.0.1 au boot
eth1 orange 192.168.0.1, serveur en dmz 192.168.0.2
eth0 green 192.168.1.249, lan green en 192.168.1.xxx

Le serveur web en dmz accède bien au net, mais le contraire ne fonctionne pas.
Apache répond bien en local, ou depuis d'autres clients sur le lan green si je rajoute sur ces clients l'IP green de l'IPCOP en tant que passerelle.

Merci encore de ton aide

par **CeRberus_Lyon** » 18 Mars 2005 15:27

En fait, tu voudrais que ta DMZ soit accessible depuis le net c bien ça?

Peux-tu déjà depuis le lan allé sur ta DMZ? En tapant http://192.168.0.2:80

Pour voir si déjà tu accède à celle-ci.

Là actuellement je ne connais pas d'exemple concret. Je vais cependant chercher si j'en trouve, tu seras mis au courant.

Enfin pour résumé:

Ta DMZ accède à Internet.

Lorsque tu tape depuis Internet l'adresse ip public de ton FAI http://82.127.xx.xxx tu obtiens quoi comme message d'erreur sur ton navigateur?

Enfin en Théorie depuis ton Green tu peux aller sur l’Orange. Si ça ne marche pas c'est un problème de configuration de l'interface orange.

Essaye de de voir ça. Pour ma pars j'essayerais de regarder si je trouve des exemples.

par **kna** » 18 Mars 2005 18:48

CeRberus_Lyon a écrit:En fait, tu voudrais que ta DMZ soit accessible depuis le net c bien ça?

Tout à fait

Cette DMZ est destinée à héberger un serveur web et à terme, un serveur smtp

Peux-tu déjà depuis le lan allé sur ta DMZ? En tapant http://192.168.0.2:80

Oui et non

NON, car les clients sur le lan ont comme unique passerelle l'IP (en 192.168.1.x) du modem-routeur qui sert actuellement d'accès internet. C'est donc à travers lui que cherche à se faire l'accès vers 192.168.0.2, et bien entendu ça l'fait pas.
OUI, si je rajoute comme passerelle chez le client l'IP green de la machine IPCOP.

Là actuellement je ne connais pas d'exemple concret. Je vais cependant chercher si j'en trouve, tu seras mis au courant.

Merci

Ca fait un moment que je fouille ici et ailleurs, les pdf etc, je ne trouve rien qui me semble lumineux..

Ta DMZ accède à Internet.

C'est le but oui

Lorsque tu tape depuis Internet l'adresse ip public de ton FAI http://82.127.xx.xxx tu obtiens quoi comme message d'erreur sur ton navigateur?

"impossible d'afficher la page" ou "délai de cnx dépassé" suivant le browser

Enfin en Théorie depuis ton Green tu peux aller sur l’Orange. Si ça ne marche pas c'est un problème de configuration de l'interface orange.

Comme ci-dessus, le ping fonctionne si le client a l'IP green de l'IPCOP en passerelle.
Si maintenant je traceroute sur 82.127.xx.xxx, la résolution de nom se fait (gnagnagna.abo.wanadoo.fr), l'IP green IPCOP répond, et plus rien..

Fin de la semaine, la suite lundi.
Merci pour ton aide

[RESOLU] Serveur en DMZ, qu'est-ce qui bouche ?

[RESOLU] Serveur en DMZ, qu'est-ce qui bouche ?

Qui est en ligne ?