routage iptables pour VNC

[tomtom]

Ton architecture risque de te poser beaucoup beaucoup de soucis ainsi !!!!
En effet, tous les paquets en provenance du reseau 192.168.1.0/24 vont etre "SNATés" par IPCop qui va y mettre son adresse du red.

Par ailleurs, il va falloir ajouter des routes sur le cisco pur conneitre ton reseau 192.168.1.0, et enfin, IPCop ne permet pas de créer des règles de "Forward" sans faire de translation via l'interface web.

En fait, ton IPcop pourrait completement remplacer ton cisco, sinon placé comme ça il va $%#&! le bordel. Il a été entièrement pensé pour être une passerelle entre un réseau privé et Internet !

Ce n'est qu'un avis bien sur, mais si j'etais toi je me pencherai vite vite sur d'autres solutions (sachant que squid et squidguard ne sont pas réservés à IPCop !!)

t.

[cocolapin21]

aujourd'hui ma question est de savoir si on peu depuis le réseau rouge accèder au réseau vert avec vnc

et si oui comment

sachant que le coté rouge n'est pas directement en direction du web mais vers le réseau de mon entreprise

[cocolapin21]

désolé j'ai écrit ma réponse avant de voire la tienne

[tomtom]

La reponse courte est :
"on peut"

La reponse longue est :
"On peut, mais pas simplement.
A savoir : Il va falloir créer un transfert de port.
Puis, sur ton pc cote red, tu devras attaquer non pas l'ip du client (qui n'a même pas à petre connu, c'est comme ça qu'ipcop fonctionne), mais l'ip red d'ipcop, sur un port precis. Il y aura transfert de port et d'adresse destination"

Le reponse que tu ne veux pas entendre, mais qui pourtant est veridique est :
"Ton architecture est foireuse car tu ajoutes une couche de masquerading (modification des IP !!) et tu continues à travailler comme si tu avais un simple routeur/firewall. Tu n'as pas 12 solutions : soit tu laisses tomber IPCop pour un truc plus adapté, soit tu changes de manière de travailler car ton reseau derrière ipcop va être completement masqué du monde exterieur, c'est à dire du RED !"

t.

p.s tu auras beau prendre tout le monde de haut genre "je vous demande une reponse je maitrise l'architecture", si tu ne fais pas l'effort de comprendre comment IPCop fonctionne, je pense que ça va etre sympa quand tu vas vouloir passer un vpn au travers, sachant les difficultés que cela représente....
Bon courage néanmoins

[edit]Moi aussi j'ai ecrite avant de voir ta reponse, desolé [/edit]

[cocolapin21]

Par ailleurs, il va falloir ajouter des routes sur le cisco pur conneitre ton reseau 192.168.1.0, et enfin, IPCop ne permet pas de créer des règles de "Forward" sans faire de translation via l'interface web.

notre fai peut rajouter je pense la route du cisco vers le réseau 192.168.1.0

Ce n'est qu'un avis bien sur, mais si j'etais toi je me pencherai vite vite sur d'autres solutions (sachant que squid et squidguard ne sont pas réservés à IPCop !!)

je suis partie sur ipcop car il est peut gourmand en puissance (prossesseur, mémoire,...) et l'add-on de franck78 est plutot efficace


pour info mon sous réseau de test en 10.0.0.0 fonctionne très bien pour les connections internet et les pages non désiré sont bloqué

[tomtom]

Hé oui, le sens sortant ne posera pas (trop) de problèmes, à part qu'on aura un double changement d'adresse. Ipcop retrouvera bien ses petits au retour.

Mais dans le cas de paquets entrants, ce ne sera pas la même chose qu'avant (je ne dis pas que c'est impossibe, mais passer un vpn dans ces conditions me semble délicat...)

t.

[cocolapin21]

p.s tu auras beau prendre tout le monde de haut genre "je vous demande une reponse je maitrise l'architecture"

je ne prend personne de haut j'essaye juste avec mes mots de me faire comprendre.

désolé si je me suis mal fait comprendre, je suis débutant et je peu, parfois, raconter des connneries car j'apprend au jour le jour.

[tomtom]

le prend pas mal j'avais cru que c'etait une reponse à mon explication et que tu n'en tenais pas du totu compte, d'où l'edit

[cocolapin21]

le prend pas mal j'avais cru que c'etait une reponse à mon explication et que tu n'en tenais pas du totu compte, d'où l'edit

je suis rassuré alors

mais pour le coup je ne sais plus quoi faire

[cocolapin21]

je pensai que d'avoir 2 translation d'adresse ne serait pas un probleme, et que au contraire cela améliorerai la sécurité en embrouyant d'eventuelle pirate

[Franck78]

Dans Ipcop, la régle qui fait le Nat tient sur une ligne.... Facile à supprimer. Les transferts de port, on sait que ca marche.

Si le cisco apprend l'existence du réseau green derrière ipcop, il enverra normalement tout le traffic vers Ipcop. Ipcop jettera les ports non explicitement ouvert, c'est son boulot, et sans le NAT ma foi ce ne devrait pas le perturber.

En fait les transferts deviennent des ouvertures de ports. Quand même un peu de modif dans l'Ipcop !

[cocolapin21]

petite question
si je fais sauter la ligne qui réalise la nat, ipcop ne fais plus routeur et les adresses coté green et red sont sur le meme réseau. cela évite donc une translation d'adresse supplémentaire. (je suis vraiment pas sur de ma remarque )

autre petite quetion
pourrais tu m'expliquer qu'elle ligne il faut supprimer

merci encore pour tous

[Franck78]

Elle est dans le /etc/rc.d/rc.firewall (cherche -j MASQ....)

Il reste routeur.

Mais il lui manque en fait la fonctionnalité simplifiée du transfert de port: any source IP=> any destination IP!

[cocolapin21]

donc pour mettre en place mon futur réseau cela sera correct

web -<>- cisco 192.168.20.1 -<>- 192.168.20.2 red ** ipcop ** green 192.168.1.2 **** serveur1 win2000 192.168.1.10

[Franck78]

C'est à ca que servent les essais. Valider.... Et dans l'ordre tant qua faire !

Tel qu'il est installé, il est en position réélle ton Ipcop. Avec deux modifs à faire dessus, ok et rajouter quelques stations derrière.

Tu n'as pas la main sur les ciscos et ca c'est génant. Il faut commencer par ça, faire connaitre le réseau 192.168.1.0/24(green) qui est atteint par la carte REDipcop (192.168.20.2)

Si 'ils' ne veulent pas, c'est pas la peine d'aller plus loin.