icmp en zone orange

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

icmp en zone orange

Messagepar therafou » 10 Juin 2008 15:02

Bonjour,

Suite au Topic sur Pas de ping en DMZ
http://forums.ixus.fr/viewtopic.php?p=257310

L'on sait qu'il n'est pas possible de pinguer (icmp) depuis la zone orange. Je cherche donc un moyen pour enlever cette regle.
Vous allez me dire que c'est contre la securite ou et non car j'ai besion de pinguer divers serveurs sur le web depuis un serveur qui est dans le zone orange.

Si vous avez une solution, merci d'avance.
IPCop 1.4 p2 350 Mhz - 256 de ram - 1 dd 2.5go - Rouge/Orange/Vert - Guardian
Avatar de l’utilisateur
therafou
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 140
Inscrit le: 25 Mai 2004 17:27
Localisation: Nord [ Mouvaux ]

Messagepar ccnet » 11 Juin 2008 09:25

Vous allez me dire que c'est contre la securite ou et non car j'ai besion de pinguer divers serveurs sur le web depuis un serveur qui est dans le zone orange.

Oups les doigts sur le clavier. Sinon ce n'est pas critique de pouvoir sortir en icmp type 8 depuis la dmz. Au surplus on n'est pas obligé de laisser en permanence l'autorisation pour ce type de trafic. L'usage est le plus souvent ponctuel.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Gesp » 11 Juin 2008 15:35

L'on sait qu'il n'est pas possible de pinguer (icmp) depuis la zone orange. Je cherche donc un moyen pour enlever cette regle.


Je n'ai pas trop regardé ce sujet.
Je ne pense pas qu'il y ait une règle pour cela, au moins explicitement.
C'est peut-être le contraire, il faudrait peut-être qu'il y en ait une pour que cela fonctionne.

Il faudrait commencer par tracer le trafic depuis ipcop pour comprendre ce qui se passe, donc utiliser tcpdump.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar jdh » 11 Juin 2008 17:38

(Je connais mal IPCOP).
(Le fil aurait du continuer plutôt qu'en faire un nouveau).


Dans le premier fil, il y a un lien vers une FAQ IPCOP qui indique que le zone Orange ne peut pinguer.

Il doit donc y avoir une règle dans le script firewall (/etc/rc.firewall ?) qui interdit cela.

Cela ne me semble pas contrevenir à la sécurité que de permettre à la zone orange d'envoyer des ICMP type 8 (comme mentionné par ccnet), et d'autant que c'est à l'initiative de machines en zones orange.

Par contre il est clair qu'il vaut mieux limiter au type 8 et ne pas autoriser tout ICMP.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Gesp » 11 Juin 2008 17:56

J'ai regardé.
Cela doit être simple, au moins pour sortir de ORANGE en icmp

La règle actuelle est la suivante dans rc.firewall

# Orange pinholes
if [ "$ORANGE_DEV" != "" ]; then
# This rule enables a host on ORANGE network to connect to the outside
# (only if we have a red connection)
if [ "$IFACE" != "" ]; then
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p tcp -o $IFACE -j ACCEPT
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p udp -o $IFACE -j ACCEPT
fi
fi


Donc il suffit de rajouter une ligne après celle en udp
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p icmp --icmp-type 8 -o $IFACE -j ACCEPT
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron