Bonjour,
je suis en train d'essayer d'installer un Ipcop pour séparer deux réseaux, il ne doit passer que le ftp.
Après quelque test, hors du réseau, on arrive a configurer la regles qui laissera passer le ftp, sauf que les adresses mises sur L'ipcop n'était pas les adresses final. Pour les tests, on a pris 2 reseaux distinct , une en 192.168.1.x et le deuxième en 172.21.x.x. Avec cette configuration voila, sa marche.
Ensuite on a commencé a configurer Ipcop, pour notre réseau.
En faite on veut filtrer tous se qui vient d'un serveur notre entreprise mais qui a une carte réseau brancher chez nous. Nous somme en 172.21.x.x.
On veut filtrer tous ceux qui vient de l'adresse 172.21.10.103,a part le ftp de notre serveur 172.21.10.1. le masque de sous réseau est 255.255.0.0.
on a reproduit en test les même plages d'adresses et on a monté notre Ipcop avec en red, 172.21.10.107, et en green, 172.21.10.4. Au début, on a mis un masque de 255.255.0.0. Mais l'ordi qui été branché sur la carte RED ne trouver pas l'Ipcop alors qu'on avait laisse la regles qui permet de pinger L'ipcop.
Alors on a changer le masque de sous-reseau sur l'ipcop et l'avons passer en 255.255.255.240.
Maintenant le réseau marche bien, l'ordi sur RED vois l'ipcop, mais la regle permettant de laisser passer le ftp ne marche pas.
la regles est la suivante:
Proto : TCP
DEFAULT IP: 21(FTP)
Destination : 172.21.10.1 : 21(FTP)
et
Proto : TCP
DEFAULT IP: 20(FTP-DATA)
Destination : 172.21.10.1 : 20(FTP-DATA)
derniere chose on veut juste que le serveur 172.21.10.103, brancher en red, puisse poser des données sur notre serveur ftp 172.21.10.1, brancher en green .
Merci pour vos réponses ,si vous voulez plus de détails je me ferais un plaisir de vous répondre et j'espère avoir été assez claire.
Ipcop sécurisation de réseau
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
Ipcop sécurisation de réseau
par Altrion » 20 Fév 2009 16:27
- Altrion
- Matelot
- Messages: 3
- Inscrit le: 20 Fév 2009 15:12
par ccnet » 20 Fév 2009 17:52
Il est bien difficile de vous lire et de vous comprendre.
Laissons de côté les tests qui sont un peu éloignés de la réalité à cause de différences fondamentales dans le plans d'adressage. Regardons la réalité. Vous nous dites :
A première vue, et sans autre précision, avec ipcop ce ne sera pas possible simplement parce que ces deux machines semblent être dans le même réseau, or ipcop nécessite absolument des réseaux différents sur Red et Green. Ce serait le cas si le masque est 255.255.255.240 mais celui ci correspond t il au réseau effectivement en production à protéger ?
Pour le moment on comprend (?) que vous avez bricolé le masque de sous réseaux sur ipcop mais que celui ci ne correspond pas au masque effectivement utilisé sur le réseau (/16 ou /28 ?).
Essayer de décrire votre besoin sans préjuger ni mélanger un début de solution. Donnez des faits simples, les plans d'adressage, la ou les machines à isoler de votre réseau.
Quel OS utilisent le serveur FPT ?
Laissons de côté les tests qui sont un peu éloignés de la réalité à cause de différences fondamentales dans le plans d'adressage. Regardons la réalité. Vous nous dites :
derniere chose on veut juste que le serveur 172.21.10.103, brancher en red, puisse poser des données sur notre serveur ftp 172.21.10.1, brancher en green .
A première vue, et sans autre précision, avec ipcop ce ne sera pas possible simplement parce que ces deux machines semblent être dans le même réseau, or ipcop nécessite absolument des réseaux différents sur Red et Green. Ce serait le cas si le masque est 255.255.255.240 mais celui ci correspond t il au réseau effectivement en production à protéger ?
Pour le moment on comprend (?) que vous avez bricolé le masque de sous réseaux sur ipcop mais que celui ci ne correspond pas au masque effectivement utilisé sur le réseau (/16 ou /28 ?).
Essayer de décrire votre besoin sans préjuger ni mélanger un début de solution. Donnez des faits simples, les plans d'adressage, la ou les machines à isoler de votre réseau.
Quel OS utilisent le serveur FPT ?
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par Altrion » 20 Fév 2009 18:06
Vous l'avez bien compris, les deux serveurs se trouvent sur la même réseau.
Et effectivement, on a un peu bricoler ipcop pour qu'il différencie les deux machines.
Notre besoin:
Un premier serveur se trouvant sur notre réseau (L'os nous est inconnu puisque ce serveur est extérieur a notre service) doit pouvoir déposer des fichiers dans notre serveur ftp ( qui est un UNIX).
nous voulons bloquer se serveur, par raison de sécurité, puisque qu'il se greffe a notre réseau seulement pour ceux besoins, et seulement laisser passer le ftp
L'adresse du serveur d'envoie est 172.21.10.103 (255.255.0.0).
notre serveur Unix est 172.21.10.1 (255.255.0.0).
Si ipcop ne peut faire cela, pouvez me donnez un logiciel, libre de préférence capable de faire.
je vous remercie pour votre rapidité dans les réponses.
Et effectivement, on a un peu bricoler ipcop pour qu'il différencie les deux machines.
Notre besoin:
Un premier serveur se trouvant sur notre réseau (L'os nous est inconnu puisque ce serveur est extérieur a notre service) doit pouvoir déposer des fichiers dans notre serveur ftp ( qui est un UNIX).
nous voulons bloquer se serveur, par raison de sécurité, puisque qu'il se greffe a notre réseau seulement pour ceux besoins, et seulement laisser passer le ftp
L'adresse du serveur d'envoie est 172.21.10.103 (255.255.0.0).
notre serveur Unix est 172.21.10.1 (255.255.0.0).
Si ipcop ne peut faire cela, pouvez me donnez un logiciel, libre de préférence capable de faire.
je vous remercie pour votre rapidité dans les réponses.
- Altrion
- Matelot
- Messages: 3
- Inscrit le: 20 Fév 2009 15:12
par Altrion » 20 Fév 2009 21:46
L'os du FTP et Unix SCO.
Par contre, pour les règles sur le FTP, cela va être dur, puisque on touche très peu voir pas du tout au serveur, toute configuration est faite par la société qui l'as installé.
Sinon si vous connaissez une solution, logiciel ou matériel, qui permettra de faire ce que je veux. je suis preneur.
Sinon pour les règles iptables, je suis friand d'apprendre.
Merci pour vos réponses.
Par contre, pour les règles sur le FTP, cela va être dur, puisque on touche très peu voir pas du tout au serveur, toute configuration est faite par la société qui l'as installé.
Sinon si vous connaissez une solution, logiciel ou matériel, qui permettra de faire ce que je veux. je suis preneur.
Sinon pour les règles iptables, je suis friand d'apprendre.
Merci pour vos réponses.
- Altrion
- Matelot
- Messages: 3
- Inscrit le: 20 Fév 2009 15:12
par ccnet » 21 Fév 2009 18:57
toute configuration est faite par la société qui l'as installé.
Demandez leur une modification de la configuration pour filtrer selon vos besoins l'accès à ce serveur. J'ignore totalement si l'on peut utiliser iptables sur Sco Unix.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité