acces de bleu vers vert

[supersosso]

Bonjour,

ma question va surement paraitre stupide..

Je ne sais aps faire communiquer blue avec green.
J'ai cherhcé sur le site mais j'ai trouvé des choses genre "ajoute un pinhole de blue vers vert".. et pas de cheminement plus détailé.

Je suis sur que quelque part il y a une doc mais je ne la trouve pas..

Désolé ..

Est-ce quelqu'un pourait m'expliquait "concretement" comment faire pour que mes pc dans blue voit les imprimante de green et aussi les partage de fichier windows ?

Merci d'avance .

[francois_web]

Est-ce quelqu'un pourait m'expliquait "concretement" comment faire pour que mes pc dans blue voit les imprimante de green et aussi les partage de fichier windows ?

Ma question est idiote, je sais, mais es-tu sûr de vouloir que les PC de BLEU voient les PC et imprimantes de VERT. IPCOP par défaut sépare les réseaux et les services (sauf exceptions gérées par les PinHoles) avec une hiérarchie précise basée sur des exigences de sécurité. Ainsi VERT est le réseau de confiance et peut accéder à BLEU, mais BLEU n'est pas un réseau de confiance et ne peut pas (par défaut) accéder à VERT... Sinon, cela revient à utiliser deux "VERTS" et alors, il faut avoir une certaine confiance dans ce qui se passe sur le BLEU...

Avant de donner une méthode concrète pour la question de base, je me permets de poser une autre question : est-ce que tu pourrais expliquer "concretement" ce qu'est un pinhole sous IPCOP, à quoi il sert, et de façon plus générale, comment les ordinateurs font pour communiquer entre eux (Partages / Imprimantes / etc...) Si tu réponds à cette petite question introductive, il y a fort à parier que ta question se résoudra beaucoup plus facilement.

Amitiés,

[Franck78]

Un pinhole c'est un trou (pas à pine, hein).
Si on imagine VERT derrière un bouclier (unidirectionnel, oui je sais, BOT résoud le cas), il faut percer des trous pour qu'un protocole ou couple machine/protocole est le droite de traverser le bouclier.

Voila pour l'idée générale. Les percages sont entre la DMZ et GREEN ou BLUE et GREEN.
Entre RED et (GREEN/ORANGE/BLUE) ca s'appelle un transfert de port a cause du NAT.

[fabzz007]

Que pensez vous de l'idée d'un VPN (prononcé ViPièN ) entre bleu et green ? qu'en pensez vous ? es-ce que ça ne serai pas encore plus sécure ?

[supersosso]

Avant de donner une méthode concrète pour la question de base, je me permets de poser une autre question : est-ce que tu pourrais expliquer "concretement" ce qu'est un pinhole sous IPCOP, à quoi il sert, et de façon plus générale, comment les ordinateurs font pour communiquer entre eux (Partages / Imprimantes / etc...) Si tu réponds à cette petite question introductive, il y a fort à parier que ta question se résoudra beaucoup plus facilement.

Amitiés,

Bonjour enfin bonsoir.

Alors je te rassure, ma demande est réfléchis ets je suis sure de la confiance accorder à blue de part d'autres régles de sécurité.
Je sais ce qu'est un pinhole, comme franck78 l'a bien expliquer il s'agit de petit trou (de passoire si on veut) pour laisser passer seulement une sélection de protocoles ou aplications par certains ports d'une zone à l'autre.
Je ne veut pas complétement ouvrir la zone green à blue, je souhaite simplement permetre le partage de fichiers et, que blue puisse envoyer ces impression sur une imprimante située sur vert.

J'ai tenter une régle depuis l'interface "acces DMZ"
Blue --> Green en TCP port 135 et 139
Avec pour IP de départ/arrivée 2 IP de mon réseau sur lesquels j'ai la main.

Mais même en attaquant le PC par son IP Blue ne voit pas du tout vert.

Voilà maintenant je repose ma question autrement ...

Où est-ce que je me suis planté

Merci

[francois_web]

Je ne voulais pas poser de problèmes supplémentaires, simplement lever l'ambiguïté du premier message.

Donc pour en revenir à notre affaire, "Netbios sur TCP/IP" (NBT) est le "protocole" utilisé par Windows pour les réseaux locaux. Il utilise les ports 135 et 139 (en TCP) mais aussi les ports 137 et 138 (en UDP les deux) et pour les dernières versions le port 445 (en TCP) afin de permettre la communication entre les machines.

Il faudrait donc essayer de rajouter dans l'accès DMZ l'autorisation pour ces ports. Au passage, IPCOP utilise aussi le port 445 mais pour le https (au lieu du 443). Mais ca ne concerne que lui.

Je ne veut pas complétement ouvrir la zone green à blue

Je suis bien d'accord, mais c'est simplement que côté problèmes de sécurité, y'a déjà pas mal de possibilités de faire passer des choses par les services associés à NetBios... Le reste n'est pas optionnel, mais les partages Windows sont souvent du pain béni quand les utilisateurs les gèrent avec largesse.

Cordialement,

François

[supersosso]

Yess !!

Bon entre le Win2k sur green et le xp sur blue ça marhe avec 135/139 TCP et 137/138 UDP .
Par contre le XP sur green reste "caché" malgrés la désactivation du parefeu etc..

Je creuse de ce coté...


En tout cas merci il y a déjà un NET mieux !!!

[francois_web]

Yess !! En tout cas merci il y a déjà un NET mieux !!!

Que du bonheur !
Le port 445 est bien ouvert pour le XP ?

[supersosso]

J'ai trouvé pour quoi ça passé pas, une bête faute de frappe ..;

Par contre, est-il possible de signifier le réseau complet dans l'adresse de départ/arrivée.

Parce que là ça fonctionne mais j'ai rentrer les exeption une par une pour chaque machine de blue vers chaque machine de vert, 5 ports à chaque fois...

Pour 9 machines dans bleu et 5 dans vert... ça en fait des lignes à entrer...

Mes réseaux sont les suivants :

Bleu 192.168.69.64 255.255.255.240

Green 192.168.69.16 255.255.255.248

Est-il de possible de spécifier quelque chose du genre

Autoriser flux TCP sur port 135 pour 192.168.69.64/28 vers 192.168.69.16/29

En fait j'ai tenter mais bon je dois pas avoir la bonne syntaxe.

Merci !