acces externe port 443

[Ouled]

Merci ccnet pour tes reponses.

Afin de simplifier les choses, pouvez vous dans la config du routeur : parametres avancés -> configuration Wan cocher l'option "Serveur DMZ par défaut" et indiquer comme destination la pate RED d'ipcop.

je viens de faire les modifications que vous m'avez suggerer mais helas sans resultat. je me demande si le bloccage ne viens pas d'Ipcop.

Var/log/squid/access.log est ce là le fichier erreur? est ce normal qu'il soit vide ?


Cordialement

[ccnet]

Si c'est ipcop qui bloque nous devrions en trouver la trace dans les logs. Par l'interface ipcop, c'est Journaux -> Journaux du pare-feu.
Sur le disque c'est /var/log/messages je crois

Var/log/squid/access.log est ce là le fichier erreur? est ce normal qu'il soit vide ?

C'est le fichier de log du proxy. Si vous ne l'utilisez pas, surf sans passer par le proxy, il est normal qu'il soit vide. Le mien est vide, je n'utilise pas le proxy d'ipcop.

[Ouled]

Si c'est ipcop qui bloque nous devrions en trouver la trace dans les logs. Par l'interface ipcop, c'est Journaux -> Journaux du pare-feu.
Sur le disque c'est /var/log/messages je crois

c'est bizare, je ne trouve aucune trace du port 445, est ce que cela veut dire que le blocage vient du routeur ?

[Ouled]

j'ai fini par ouvrir tous les ports du routeur et voila ce que j'obtiens sur mon ipcop:
193.253.37.205 ets l'adresse ip de la machine test. elle n'est pas dans le meme reseau.


17:24:45 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=25216 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0
17:25:09 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=25303 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0
17:25:25 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=25324 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0
17:25:37 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=25335 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0
17:26:13 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=25380 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0
17:26:25 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=25399 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0
17:26:41 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=25408 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0

cordialement

[ccnet]

Si c'est ipcop qui bloque nous devrions en trouver la trace dans les logs. Par l'interface ipcop, c'est Journaux -> Journaux du pare-feu.
Sur le disque c'est /var/log/messages je crois

c'est bizare, je ne trouve aucune trace du port 445, est ce que cela veut dire que le blocage vient du routeur ?

Le port standard en https c'est 443. Ipcop utilise le 445 pour son administration.

[ccnet]

j'ai fini par ouvrir tous les ports du routeur et voila ce que j'obtiens sur mon ipcop:
193.253.37.205 ets l'adresse ip de la machine test. elle n'est pas dans le meme reseau.


17:24:45 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=25216 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0

cordialement

Qu'elle ne soit pas dans le même réseau ne me gêne pas si son trafic se présente sur le routeur, puis arrive sur l'interface RED (ou directement sur RED si le boitier est en pont). Dans ce log on voit bien que la machine 193.253.37.205 se présente sur eth1 pour aller sur eth0 à l'adresse 172.16.1.1 vers le port 443.
Quelle est l'adresse ip de eth1 ?
Au passage ce log tend à prouver qu'il y avait mauvaise configuration du routeur qui bloquait jusque là. Maintenant on voit que le trafic arrive sur ipcop.

[Ouled]

c'est bizare, je ne trouve aucune trace du port 445, est ce que cela veut dire que le blocage vient du routeur ?

Effectivement, je parle du port 443 et non 445 qui lui est reservé pour Ipcop.

Dans ce log on voit bien que la machine 193.253.37.205 se présente sur eth1 pour aller sur eth0 à l'adresse 172.16.1.1 vers le port 443.
Quelle est l'adresse ip de eth1 ?

172.16.1.1 est l'adresse de la machine destination ( Serveur IIS), elle contient un compte utilisateur auquel je souhete acceder a distance.

eth1 : 10.0.0.1
ip routeur : 10.0.0.100

[ccnet]

Et vous connaissez la machine 193.253.37.205 ?

[Ouled]

oui, elle dans un autre reseau rien avoir avec le mien.

[Ouled]

en plus, le journal de mon routeur me donne ceci :

Tue, 2008-02-12 08:24:34 - UDP Packet - Source:206.127.156.126,11048 Destination:217.128.130.97,33435 - [Any(ALL) rule match]
Tue, 2008-02-12 08:24:55 - UDP Packet - Source:57.224.148.246,31248 Destination:217.128.130.97,1026 - [Any(ALL) rule match]
Tue, 2008-02-12 08:27:02 - TCP Packet - Source:193.253.37.205,18868 Destination:217.128.130.97,443 - [Any(ALL) rule match]
Tue, 2008-02-12 08:27:23 - TCP Packet - Source:193.253.37.205,18874 Destination:217.128.130.97,443 - [Any(ALL) rule match]
Tue, 2008-02-12 08:27:31 - TCP Packet - Source:193.253.37.205,18875 Destination:217.128.130.97,443 - [Any(ALL) rule match].


la destination ne doit elle pas etre la pate rouge de mon Ipcop ?

217.128.130.97 est mon adresse ip fixe.

[ccnet]

la destination ne doit elle pas etre la pate rouge de mon Ipcop ?

Oui mais le log montre simplement ce qu'il y a dans l'entête ip, ce que devient ce paquet dépent de la configuration du routeur. Si vous avez activé l'option de redirection dmz, tout ce traffic arrivera bien sur la pate RED d'IPCOP.

217.128.130.97 est mon adresse ip fixe.

Elle est bien sur la patte Wan de votre routeur Netgear ?

[Ouled]

le routeur refuse d'enregistrer mon adresse ip fixe : Installation -> Parametre de base.

autre chose : j'ai un nom de domaine auquel mon adresse ip est associé, c'est juste un parking. y a til besoin de faire une redirection pour les acces externes via le port 443 ? sachant que j'ai fais la meme chose pour un serveur de messagerie.

[ccnet]

le routeur refuse d'enregistrer mon adresse ip fixe : Installation -> Parametre de base.

autre chose : j'ai un nom de domaine auquel mon adresse ip est associé, c'est juste un parking. y a til besoin de faire une redirection pour les acces externes via le port 443 ? sachant que j'ai fais la meme chose pour un serveur de messagerie.

Si vous mettez la pate wan en dhcp cela devrait aller tout seul. Même si vous avez une ip fixe, chez les opérateurs grand public l'interface wan est en dhcp (free par exemple). La différence est qu'elle récupère toujours la même ip.
Il est certain que si l'ip publique n'est pas affectée à l'interface wan du routeur, rien ne peut fonctionner.

Sur le second point, si voulez que la machine en https soit accédée avec un nom et pas une ip, il vous faut un enregistrement adresse valide sur les dns public pour ce nom de machine.

Pas d'accès externe à autoriser dans ipcop pour rediriger le https, juste une redirection de port.

[Ouled]

[quote]Il est certain que si l'ip publique n'est pas affectée à l'interface wan du routeur, rien ne peut fonctionner. [/quote]

Obtenir une adresse ip dynamiquement par lISP est activée.
Rependre au ping est activé aussi. il fonctionne d'ailleurs.

J'ouvre a nouveau tous les ports au niveau du routeur et j'obtiens :
Tue, 2008-02-12 10:42:05 - TCP Packet - Source:193.253.37.205,20425 Destination:217.128.130.97,443 - [Any(ALL) rule match]

Le journal du firewall me donne ceci:
11:37:50 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=20430 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0

Cela veut dure que le redirection marche si je ne me trompe pas ?

Le routeur et le IPCOP ne sont pas à la même heure, cela pose un problème ?

[ccnet]

Oui. Non ce n'est pas grave. C'est désagréable si vous avez un monitoring centralisé pour la présentation de l'enchainement des événements. On va finir pas y arriver !