Paquets ICMP bloqués par IPCop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Paquets ICMP bloqués par IPCop

Messagepar Floris » 09 Fév 2007 12:13

Bonjour à tous.

Soit le schéma suivant:

Image

Le proxy est complètement transparent (mode bridge).

Pour que le Site A puisse joindre le site B en passant par le routeur Equant, une route a été ajoutée sur IPCop:

route add -net 10.163.0.0/16 gw 192.9.192.50 eth0

(Elle est ajoutée à chaque démarrage du routeur via le fichier rc.local)

Le problème:

Les ping partants d'un poste de travail du site A vers le site B reviennent correctement.

Les ping partants d'un poste de travail du site B vers 192.9.200.7 (coté vert IPCop) reviennent bien aussi.

Les ping partant d'un poste de travail du site B vers un poste de travail du site A ne reviennent pas. Ils sont à priori bloqués par IPCop.

On observe ceci dans le journal du pare-feu:

Image

On voit bien que 3 paquets ICMP repartant vers le Site B ont été bloqués par IPCop.

Je n'ai rien trouvé dans les règles iptables (d'origines d'ailleurs) qui justifie ce blocage.

Qu'en pensez vous ?
Avatar de l’utilisateur
Floris
Matelot
Matelot
 
Messages: 9
Inscrit le: 29 Août 2003 00:00
Haut

Messagepar jdh » 09 Fév 2007 13:56

Un machine en zone verte d'IPCOP (par exemple 192.9.200.9) a pour gateway par défaut l'IPCOP (carte Green=192.9.200.7).

Or si l'IPCOP veut accéder au site A, il faut qu'il ait une route vers ce site qui devrait être

route add -net 10.163.10.x mask 255.255.255.0 gw 192.9.200.8 (approximativement=vérifiez la syntaxe exacte).

Je part de l'hypothèse que Censornet dispose de 2 cartes et est capable de router lui même le traffic vers le site B (par exemple : route par défaut le Green d'IPCOP et idem route vers 10.163.10 via le routeur Equant 192.9.192.50).

Il ne faut pas oublier aussi qu'Equant B doit connaitre la route retour : 192.9.200.x via l'ip de Censornet

On peut dire, pour résumer,
- Censornet doit d'abord connaitre la route via le routeur Equant B
- IPCOP doit connaitre la route via Censornet.
- le routeur Equant doit connaitre la route vers le Green via Censornet


NB : 192.9.200.x n'est pas un réseau privé et donc n'est pas conforme à la RFC 1918. Il vaudrait mieux utiliser des adressages privés.

NB2 : Le schéma n'est pas parfait : les routeurs Equant A et B sont bien reliés à Internet mais devraient être reliés symboliquement par un lien illustrant un VPN ou tunnel qui doit exister (notamment parce qu'ils utilisent au moins d'un côté un réseau "non privé".
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Schéma

Messagepar bendisco » 27 Fév 2007 11:39

Une question en passant : avec quel logiciel tu as fais ton schéma réseau ? Il pète !
bendisco
Matelot
Matelot
 
Messages: 2
Inscrit le: 27 Fév 2007 11:31
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron