Bonjour,
Suite au Topic sur Pas de ping en DMZ
http://forums.ixus.fr/viewtopic.php?p=257310
L'on sait qu'il n'est pas possible de pinguer (icmp) depuis la zone orange. Je cherche donc un moyen pour enlever cette regle.
Vous allez me dire que c'est contre la securite ou et non car j'ai besion de pinguer divers serveurs sur le web depuis un serveur qui est dans le zone orange.
Si vous avez une solution, merci d'avance.
icmp en zone orange
Modérateur: modos Ixus
5 messages
• Page 1 sur 1
icmp en zone orange
par therafou » 10 Juin 2008 15:02
IPCop 1.4 p2 350 Mhz - 256 de ram - 1 dd 2.5go - Rouge/Orange/Vert - Guardian
-
therafou - Enseigne de vaisseau
- Messages: 140
- Inscrit le: 25 Mai 2004 17:27
- Localisation: Nord [ Mouvaux ]
par ccnet » 11 Juin 2008 09:25
Vous allez me dire que c'est contre la securite ou et non car j'ai besion de pinguer divers serveurs sur le web depuis un serveur qui est dans le zone orange.
Oups les doigts sur le clavier. Sinon ce n'est pas critique de pouvoir sortir en icmp type 8 depuis la dmz. Au surplus on n'est pas obligé de laisser en permanence l'autorisation pour ce type de trafic. L'usage est le plus souvent ponctuel.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par Gesp » 11 Juin 2008 15:35
L'on sait qu'il n'est pas possible de pinguer (icmp) depuis la zone orange. Je cherche donc un moyen pour enlever cette regle.
Je n'ai pas trop regardé ce sujet.
Je ne pense pas qu'il y ait une règle pour cela, au moins explicitement.
C'est peut-être le contraire, il faudrait peut-être qu'il y en ait une pour que cela fonctionne.
Il faudrait commencer par tracer le trafic depuis ipcop pour comprendre ce qui se passe, donc utiliser tcpdump.
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
par jdh » 11 Juin 2008 17:38
(Je connais mal IPCOP).
(Le fil aurait du continuer plutôt qu'en faire un nouveau).
Dans le premier fil, il y a un lien vers une FAQ IPCOP qui indique que le zone Orange ne peut pinguer.
Il doit donc y avoir une règle dans le script firewall (/etc/rc.firewall ?) qui interdit cela.
Cela ne me semble pas contrevenir à la sécurité que de permettre à la zone orange d'envoyer des ICMP type 8 (comme mentionné par ccnet), et d'autant que c'est à l'initiative de machines en zones orange.
Par contre il est clair qu'il vaut mieux limiter au type 8 et ne pas autoriser tout ICMP.
(Le fil aurait du continuer plutôt qu'en faire un nouveau).
Dans le premier fil, il y a un lien vers une FAQ IPCOP qui indique que le zone Orange ne peut pinguer.
Il doit donc y avoir une règle dans le script firewall (/etc/rc.firewall ?) qui interdit cela.
Cela ne me semble pas contrevenir à la sécurité que de permettre à la zone orange d'envoyer des ICMP type 8 (comme mentionné par ccnet), et d'autant que c'est à l'initiative de machines en zones orange.
Par contre il est clair qu'il vaut mieux limiter au type 8 et ne pas autoriser tout ICMP.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Gesp » 11 Juin 2008 17:56
J'ai regardé.
Cela doit être simple, au moins pour sortir de ORANGE en icmp
La règle actuelle est la suivante dans rc.firewall
Donc il suffit de rajouter une ligne après celle en udp
Cela doit être simple, au moins pour sortir de ORANGE en icmp
La règle actuelle est la suivante dans rc.firewall
# Orange pinholes
if [ "$ORANGE_DEV" != "" ]; then
# This rule enables a host on ORANGE network to connect to the outside
# (only if we have a red connection)
if [ "$IFACE" != "" ]; then
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p tcp -o $IFACE -j ACCEPT
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p udp -o $IFACE -j ACCEPT
fi
fi
Donc il suffit de rajouter une ligne après celle en udp
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p icmp --icmp-type 8 -o $IFACE -j ACCEPT
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
5 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité