acces site DMZ depuis local

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

acces site DMZ depuis local

Messagepar atoboldon33 » 06 Mars 2007 11:37

Bonjour,

Grace a la lecture des nombreux posts de ce forum, j'ai pu installer et faire fonctionner sans problémes :
IP Fixe Free
IPCOP 1.4.14 Rouge Vert Orange
Une distro Debian sarge serveur WEB et FTP grace aux VirtualHost, herbergant plusieurs sites sur mon IP fixe
Mon réseau local (machines Windows) sur Green.

Afin de pouvoir tester en live mes sites web avant mise en ligne définitive chez un hébergeur, je souhaiterais y accéder depuis mon réseau local, mais en utilisant le DNS public (comme un acces externe), afin de vérifier les redirections, et le bon fonctionement des VHosts.
Hors il semble qu'IPCOP interdise ce genre de manip (sécurité).

Je peux bien sur y accéder en utilisant la résolution locale (par IP, ou par DNS local), mais l'accés externe (depuis l'internet global) depuis le propre reseau local IPCOP m'interresse. Y as t-il un moyen d'y arriver, sans demander a des contacts exterieurs de tester pour moi ??

Merci pour vos infos
atoboldon33
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 27 Mai 2006 16:54
Localisation: Bordeaux

Messagepar atoboldon33 » 07 Mars 2007 09:33

UNe précision supplémentaire :
Je sais que les régles d'antispoofing intégrées au noyau, interdisent cela, mais existe-il un moyen de désactiver momentanément ces régles (dans avoir a recompiler le kernel bien sur ???)

D'autre part, ayant une freebox en mode routeur, et sur laquelle le WIFI est activé, je pensais que l'acces depuis ce WIFI se comporterait comme un acces exterierieur a mon reseau IPCOP, et me permettrait de faire ce que je veux, hors cela ne marche pas non plus !!!! Pourtant cet acces en amont WIFI-FREEBOX (192.168.0.xxx), n'est en rien linké avec mon IPCOP (192.168.5.11).

Toutes informations seraient bienvenues ????

Merci
JPR
atoboldon33
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 27 Mai 2006 16:54
Localisation: Bordeaux

Messagepar Stirner » 07 Mars 2007 09:52

Salut,

Concernant l'accés en local via le nom de domaine rendez-vous dans l'onglet "Services" puis "Hôtes Statiques".

@+
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar atoboldon33 » 08 Mars 2007 09:25

Merci pour votre réponse Stirner, mais c'etait déja testé bien sur ...
relire mon premier post, il s'agit en fait d'accéder a des sites webs hébergés dans la DMZ, depuis des postes locaux sous reseau GREEN, mais en utilisant LES ADRESSES PUBLIQUES .
BIen sur pour des adresses privées cela fonctionne en renseignant les hotes virtuels, mais pour les publiques, l'AntiSpoofing fait son boulot, et le fait bien !!!

J'ai toutefois trouvé une solution :
Depuis le WIFI activé sur ma freebox, cela semble se comporter comme un acces externe a mon reseau local (classe d'adresse différente), mais je suis neanmoins obligé de passer par un proxy qui rends la connection anonyme afin d'accéder aux site présents en DMZ.

Bref : cela fonctionne
JPR
atoboldon33
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 27 Mai 2006 16:54
Localisation: Bordeaux

Messagepar Stirner » 08 Mars 2007 11:04

Salut,


Tu veux dire que si dans hôte local tu renseigne :


Adresse IP de la machine : ip de ton serveur

Nom d'hôte : www

Nom de domaine : ledomaine.com (fr/net/asoo...)

Ca ne passe pas ?

Surpenant chez moi je ne rencontre aucun problèmes

@+
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar rv91 » 11 Mai 2008 15:40

Bonjour,
Je me permet d'exhumer ce sujet car la solution annoncée par Stirner :
- correspond à mes attentes ;
- ne fonctionne pas chez moi :oops:

Voilà à quoi ressemble (en résumé) notre réseau domestique :

1- connection ADSL2+ free avec IP fixe et reverse DNS
2- modem freebox en mode routeur sans dhcp et wifi activé (DMZ= IP RED de IPcop)
3- Ipcop 1.4.18 aucun addon
proxi transparent sur GREEN + BLUE
hôtes statiques = 192.168.2.252 - www - dns (zone ORANGE)
transfert de ports = 80,443 etc ... sur 192.168.2.252

Donc pour accerder au serveur (SME7.3 server) par exemple le service egroupware :
depuis internet c'est https://dns/egroupware
depuis BLUE et GREEN c'est https://192.168.2.252/egroupware

Or j'ai besoin, notamment pour synchroniser mon HTC (donc depuis BLUE) avec egw (ORANGE), d'accéder à 192.168.2.252 par le DNS (nom du certificat ssl doit correspondre au nom du serveur renseigné).

Cette solution me semblait géniale, je ne comprends pas pourquoi ça ne marche pas.
et vous ?
rv91
Major
Major
 
Messages: 76
Inscrit le: 28 Jan 2008 13:58
Localisation: Essonne

Messagepar jdh » 11 Mai 2008 16:48

Stirner fournit l'EXACTE solution. Il suffirait de la tester !


Je vais essayer d'être pédagogue !

Contexte :
- j'ai plusieurs noms de domaines (sur Internet).
- j'ai un serveur web (en Orange) avec la technique des "virtual hosts" permettant d'héberger plusieurs sites web.

Constat :
- de l'extérieur, tous les noms de domaines pointent sur l'adresse ip publique (unique).
- de l'intérieur, le serveur web est accessible par son adresse ip privée en Orange.

Question :
Comment tester en interne chaque site web ?

Réponse :
Il est CLAIR que chaque nom de domaine doivent pointer vers des adresses différentes SELON l'endroit où on est !
Sur Internet, on se réfère à un serveur dns qui donne l'adresse ip publique.
En interne, il faut résoudre avec l'adresse d'Orange.

Solution :
Le service dns d'IPCOP est dnsmasq. Il permet de définir des associations nom->ip pour les PC en Green (via "hotes statiques"). Il suffit de définir (localement) chaque nom dns publique avec la valeur locale.



On appelle cela faire du "split-dns". C'est assez facile à comprendre et à mettre en oeuvre. Et je dirais que c'est un mécanisme assez simple ...

(Evidemment cela ne fonctionne que pour http ! Au fait pourquoi ?)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar rv91 » 11 Mai 2008 17:46

jdh a écrit:Stirner fournit l'EXACTE solution. Il suffirait de la tester !
(Evidemment cela ne fonctionne que pour http ! Au fait pourquoi ?)

Mais c'est bien sûr !
httpS://www.dns => ça ne fonctionne pas // http://www.dns => je viens de tester : ça marche !
Comme j'ai une redirection obligatoie de http -> https de ce fait http://www.dns/egroupware me renvoi bien vers https://dns/egroupware => Résolu pour http et https.

En revanche le client de messagerie Outlook mobile ne se connecte certainement pas sur le port 80 lui donc cette partie là n'est pas jouée.

Merci
@+
rv91
Major
Major
 
Messages: 76
Inscrit le: 28 Jan 2008 13:58
Localisation: Essonne


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité