route statique vers ORANGE et GREEN

[oliverd]

Bonjour,

Et voilà un autre problème:

J'ai bien créé des routes sur mon routeur netopia :
192.168.16.0/255.255.255.0 via 192.168.1.188 (RED), pour pouvoir contacter un poste dans ORANGE
192.168.20.0/255.255.255.0 via 192.168.1.188 (RED), pour pouvoir contacter un poste dans GREEN

Depuis le routeur, je pingue bien le 192.168.16.1, et le 192.168.20.1 qui sont les interfaces de ORANGE et GREEN.

Mais, je ne peux pas pinguer un poste dont l'adresse est 192.168.16.x dans la dmz, tout comme je ne peux pas pinguer un poste en 192.168.20.x dans GREEN ...

Pourquoi ? Ais-je loupé un truc dans Ipcop ? sûrement ...

Merci d'avance pour vos conseils avisés !

Oliver

[antolien]

Bonjour,

C'est étonnant que tu puisse pinger l'interface orange et green depuis le red.
En tout cas si j'ai bien compris ton routeur se trouve du coté red, il y a le NAT et les règles firewall qui vont poser pb.
il faut aussi ajouter une route sur ipcop pour qu'il puisse joindre le réseau qu'il y a derrière le routeur netopia (a moins que ce ne soit pas passerelle par défaut).

Sinon, est-ce que tu peux être plus précis sur l'architecture ?

antolien.

[oliverd]

bien sûr,

j'essaie d'être plus précis, (sans embrouiller, du moins j'espère) ...



Les utilisateurs en Vpn doivent pouvoir ce connecter directement aux serveurs dans la dmz, ainsi qu'à des ressources présentes dans GREEN. D'où la création des routes.

Oliver

[antolien]

C'est bien ce que je pensais, lorsque tu parles des utilisateurs vpn, c'est transparent pour ipcop, pour lui il voit des accès venant du red (zone considérée comme sensible et protégeant ton lan/dmz justement)

Donc je pense qu'ipcop n'est pas forcément indiqué pour mettre en place cette architecture sans bidouiller.

1- Le NAT est effectué par défaut du lan,dmz vers le red (masque les adresses source par l'ip red d'ipcop).
2- Les règles iptables interdisent le traffic red->lan,dmz.

Donc je suppose que tu peux joindre les machines des réseaux distants depuis le lan et la dmz, mais pas l'inverse.

ps: le fait que tu puisse pinger l'interface orange et green depuis le red laisse penser qu'il y a une règle par défaut sur l'icmp qui n'est pas très normale..

[oliverd]

Vous avez tous des actions chez microsoft pour nous faire des beaux schémas comme ça

Même pas !!! Mais je pense que cela permet d'être un poil plus clair, du moins, je l'espère !

J'ai bien conscience qu'il va me falloir bidouiller, et même si je découvre IpCop, j'aimerais vraiment y parvenir.

effectivement, depuis le lan je peux contacter les postes distants, mais pas depuis la dmz ... ??

Pour poser directement la bonne question : La solution envisagée est-elle donc possible ?

Pour ce qui est de la bizarrerie icmp, c'est effectivement un "truc" par défaut, que je n'ai rien touché de ce côté-la. Il s'agit de toutes façon d'une plateforme de tests. Je peux donc tout refaire au besoin !

Merci,

Oliver

[antolien]

Donc la solution pour toi ce serait de dégager le NAT avec :
/sbin/iptables -t nat -D REDNAT -o eth3 -j MASQUERADE

eth3 étant l'interface RED.
où
/sbin/iptables -t nat -F REDNAT...


Et ajouter les règles iptables qu'il te faut; mais là je ne vois plus ton schéma.

exemple ,
/sbin/iptables -I REDFORWARD -i eth3 -o eth2 -s 192.168.9.0/24 -d 192.168.16.187 -m state --state NEW -p tcp --dport 80 -j ACCEPT
eth2 étant l'interface orange.
cela permettra a l'agence C de se connecter en http sur le serveur OWA (par ex 192.168.16.187) en dmz.

[jdh]

Pour revenir sur un ping, j'aimerais faire comprendre une réalité (qui en déconcerte plus d'un !) :

- un routeur (192.168.1.254 par exemple) relié au RED d'un IPCOP (192.168.1.188),
- l'IPCOP a un GREEN (192.168.20.1) et un ORANGE (192.168.16.1)

Si le routeur peut pinger le RED alors il peut pinger l'ORANGE et le GREEN.

Explication : les 3 adresses ip appartiennent à la même machine c'est à dire la même stack ip, or la gestion de l'icmp (le protocole utilisé par le ping) se réalise très au "fond" de cette stack. En fait, si on autorise la réponse au ping sur RED, le paquet (vers GREEN) fait rtr -> RED -> lo (127.0.0.1) -> GREEN, or les 2 derniers étapes sont TOUJOURS autorisés par défaut. CQFD.

Conclusion : pinger l'interface la "plus proche" suffit à savoir si la machine est là (sous réserve qu'elle autorise le retour (=icmp/8 ).


Autre question :

Puis-je pinger à partir du RED une adresse de GREEN ou ORANGE (autre que celle d'IPCOP) ?

Ceci est une ineptie ! CE N'EST PAS POSSIBLE puisque, par essence, il y a le masquage (MASQUERADE). Cela fonctionne avec un routeur mais pas avec un firewall !!!

[jdh]

Je ne me moque de personne.

Je voulais simplement donner une explication simple à ce qui peut paraître paradoxal "je peux pinger toutes les interfaces, comment cela se fait-il ?"

J'ai donc donné une explication technique que j'espère convaincante.

Mais, je dis qu'il s'agit d'une belle erreur que de mettre des routes statiques vers GREEN et ORANGE via le RED, parce que cela signifie la confusion complète avec un routeur.

Un firewall c'est un "routeur filtrant" dans le sens GREEN (ou ORANGE) vers RED tandis que c'est un "système filtré" vu de RED. (Ceci bien sur hors VPN).


NB : Cela dit, c'est peut-être une technique d'investigation réseau que d'essayer quelques pings pour trouver les adresses des interfaces internes d'un firewall ...