IPCOP & Sous réseaux

[remi]

<BR>Je pensais que c'était ca personnelement, mais ca marche pas <BR> <BR>ipchains -A -s 10.141.2.0/24 -p tcp -d @ip_serveur 110 -j ACCEPT <BR> <BR>j'ai ce message qui apparait : Try `ipchains -h' or 'ipchains --help' for more information. <BR> <BR>sans autre indications...

[antolien]

je pense avoir trouvé <BR> <BR>tu dois définir avant ta chaîne <BR> <BR>sousrezo1="10.141.2.0/24" <BR> <BR>et après tu remplace dans la règle par sousrezo1 <BR> <BR>malheureusement la règle que je t'ai donnée ne peut fonctionner que à partir du rc.firewall.up. <BR> <BR>alors laisse tomber il faut trouver autre chose. <BR> <BR>je rechefli (en + je l'ai déjà fait !) et te tiens au courant <BR> <BR>désolé <IMG SRC="images/smiles/icon_biggrin.gif">

[remi]

OK, je continue mais recherche... <BR> <BR> <BR>dès que la soluce est OK, je fais la manip, et petit man pour les users d'Ixus...

[antolien]

hum, bon : <BR> <BR> <BR>ipchains -A input -j ACCEPT -p tcp -s 10.141.2.0/24 -d @ip_serveur/32 110 <BR> <BR> <BR>en respectant la casse ça devrait marcher

[remi]

la ligne est acceptée par IPCOP, mais les sites distants n'arrivent toujours pas a joindre serveur mail. <BR> <BR>Mon reseau transpac est bien configuré puisque lorsque j'essaie de pinger le serveur mail depuis un site distant j'obtiens le message "Réponse de @IPCOP_green : Impossible de joindre l'hote de destination" <BR> <BR> <BR>

[busab]

a mon avis, c'est normal. Il te faut la regle ipchains mais aussi une adresse IP corrrespondant au sous réseau. <BR>je me rapelle pas exactement la syntaxe mais regarde dans le man de ifconfig, ils expliquent comment définir un alias pour une carte réseau.

[busab]

pardon la page de man est un peu courte. <BR>tiens, le mini howto sur les alias réseau : <!-- BBCode auto-link start --><a href="http://tldp.org/HOWTO/mini/IP-Alias/index.html" target="_blank">http://tldp.org/HOWTO/mini/IP-Alias/index.html</a><!-- BBCode auto-link end --> <IMG SRC="images/smiles/icon_smile.gif">

[antolien]

ah, mais tu peux joindre ton site distant à partir d'ipcop ? <BR> <BR>si non, et bien il manque une route... celle de ton rézo distant. <BR> <BR>genre route add 10.141.2.0/255.255.255.0 @ip de ton routeur transpac <BR> <BR>eh oui, les paquets arrivent bien à ton serveur de mail maintenant mais le retour ne peux pas se faire...

[tomtom]

Je comprends pas trop ton architecture ? <BR>Le serveur de mail est sur le sme ? <BR> <BR> <BR>Quelle est la config de ton ipcop ? <BR>Ou est le green ? le red ? <BR> <BR>moi je ne vois pas... <BR> <BR> <BR>Logiquement il faut effectivement autoriser les connections vers le port 25 du serveur, mais peut etre egalement autoriser les paquets avec 25 comme port source..... <BR>Il faut egalement verifier que tu n'as pas une règle bloquant les connections depuis le green avec une ip qui n'est pas du reseau green.... <BR> <BR>Bref, un peu plus d'infos <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Bon courage ! <BR> <BR>Thomas

[antolien]

on récapitule ? <BR> <BR>alors, ton serveur de mail, c'est le sme <BR> <BR>le red est du côté sme j'imagine <BR> <BR>alors, il faut d'abort ouvrir le 110 et 25 du côté red <BR> <BR>ensuite ajouter les règles <BR> <BR>ipchains -A input -j ACCEPT -p tcp -s 10.141.2.0/24 -d @ip_serveur/32 110 <BR>ipchains -A input -j ACCEPT -p tcp -s 10.141.2.0/24 -d @ip_serveur/32 25 <BR> <BR>hum et la dernière étape, ajouter la route pour les paquets retours sur l'ipcop <BR>(je connais pas trop la syntaxe) <BR>route add 10.141.2.0/24 gw @ip_routeur_transpac

[tomtom]

Oui j'y pensais à la route mais si des paquets arrivent (en reponse au ping) c'est qu'elle sont bien configurées. <BR> <BR>La syntaxe est <BR> <BR>route add 10.141.2.0 gw @routeur netmask 255.255.255.0 <BR> <BR>Je ne pense pas que la notation /24 soit autorisée.. à voir <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Sinon, un autre truc que tu peux tenter : <BR> <BR>recopie la règle de antolien en remplaçant INPUT par FORWARD. <BR> <BR>Il ne faut pas oublier que pour ipchains, un paquet routé traverse successivement les tables INPUT, FORWARD et OUTPUT <BR> <BR>Donc il faudrait peut etre mettre une règle d'autorisation dnas les 3 ??? <BR> <BR>C'est juste une hypothèse, sur IPTABLES j'aurais pu plus t'aider mais la.... <BR> <BR> <BR>Bon courage... <BR> <BR>Thomas

[tomtom]

Tiens un truc, la route doit etre présente sur le IPCop (cf reponse au ping), en revanche elle n'y est peut-etre pas sur le serveur de mail.... ? <BR> <BR>Ca vaut le coup de tenter (apres les règles !!! <IMG SRC="images/smiles/icon_wink.gif"> ) <BR> <BR>Tom

[antolien]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 16:54, arsenic a écrit: <BR> <BR>Mon reseau transpac est bien configuré puisque lorsque j'essaie de pinger le serveur mail depuis un site distant j'obtiens le message "Réponse de @IPCOP_green : Impossible de joindre l'hote de destination" <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>donc en fait, tu peux pas joindre ton serveur de mail à cause de la route de retour ç'est certain. il faudrai à partir de l'ipcop, essayer de pinger un poste du site distant. si ça répond pas ->route add <BR> <BR>files nous netstat -r ? <BR> <BR>ps: oui thomas, je crois que le ping ne répond pas justement<BR><BR><font size=-2></font>

[tomtom]

Ben oui mais si c'est l'ip d'IPCop qui repond ca ? <BR> <BR>A priori c'est que c'est lui qui repond, non ? <BR> <BR>Il est bizarre ce message de ping... <BR>Si IPCop ne savait pas repondre, on aurait un time out tout simplement... La j'ai plutot l'impression qu'il repond un "host unreacheable", comme si il etait configuré en REJECT ! <BR> <BR> <BR>_________________ <BR>"Ce n'est pas parce qu'un problème n'a pas été résolu qu'il est impossible à résoudre" A. Christie<BR><BR><font size=-2></font>

[remi]

Je réponds a tout le monde <BR> <BR><!-- BBCode Start --><B> Le 2003-03-12 17:09, tfillaud a écrit:</B><!-- BBCode End --> <BR>Je comprends pas trop ton architecture ? <!-- BBCode Start --><B>--> c pour ca que j'ai fais un gros dessin !!! <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> </B><!-- BBCode End --> <BR>Le serveur de mail est sur le sme ? <!-- BBCode Start --><B>--> Oui, mail, http,...</B><!-- BBCode End --> <BR> <BR> <BR> <BR>Ou est le green ? le red ? <!-- BBCode Start --><B>--> green=lan ; Red=SME (Ca parait logique, Non ??)</B><!-- BBCode End --> <BR> <BR> <BR><!-- BBCode Start --><B>Le 2003-03-12 17:29, antolien a écrit: </B><!-- BBCode End --> <BR>on récapitule ? <BR> <BR>alors, ton serveur de mail, c'est le sme --> oui <BR>le red est du côté sme j'imagine --> oui <BR> <BR>alors, il faut d'abort ouvrir le 110 et 25 du côté red --> Je ne suis pas d'accord pour deux raisons : <BR>- ce sont toujours les machines du green qui font la requete, donc pas besoin d'ouvrir de port du coté du RED. <BR>- de plus ca marche sans ouvrir de ports depuis mon poste (test en local) <BR> <BR>ensuite ajouter les règles <BR> <BR>ipchains -A input -j ACCEPT -p tcp -s 10.141.2.0/24 -d @ip_serveur/32 110 <BR>ipchains -A input -j ACCEPT -p tcp -s 10.141.2.0/24 -d @ip_serveur/32 25 <BR> <BR>--> Les regles semblent bonnes, elles sont acceptées par l'IPCOP <BR> <BR> <BR>hum et la dernière étape, ajouter la route pour les paquets retours sur l'ipcop <BR>(je connais pas trop la syntaxe) <BR>route add 10.141.2.0/24 gw @ip_routeur_transpac --> c déja fait et l'orthographe exacte est : <BR>route add -net 10.141.2.0 gw @ip_routeur_transpac ethX <BR> <BR> <BR>pour le LAN, ca fonctionne nickel <BR>pour le MAN, site distant ping IPCOP(green), IPcop ping site distant MAIS site distant choppe pas SME (coté RED) <BR> <BR>Voili voilou, <BR> <BR>ouf, il est long ce message <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR> <BR><IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif">