impossible de me connecter a internet depuis mon serveur DMZ

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

impossible de me connecter a internet depuis mon serveur DMZ

Messagepar metal_feul » 22 Déc 2009 19:59

voila mon problème, j'ai configure un firewall ipcop chez ma entreprise , dans la place de mes serveurs DMZ j'ai un PC pour tester avant mettre en place les serveurs
voila ma config

pc de test (serveur) relier a ipcop avec un câble croisé

@ip 172.16.90.2
masque 255.255.0.0
passerelle 172.16.90.1 (adresse de l'interface orange sur ipcop)
DNS 172.16.90.1

le prb c'est que il n'y pas de connexion internet sur mon pc de test
aider moi svp

et j'ai quelque question :

*est ce que l'@ ip de l'interface orange doit être public ou n'importe quel adresse ?

* l'adresse des serveur sur la DMZ doit etre public ou n'importe quel adresse ?

sur l'ipcop j'ai active le proxy (mode transparent )
metal_feul
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Déc 2009 19:14

Messagepar jdh » 22 Déc 2009 21:10

(On va dire que ce commentaire est une réponse sèche !)

* Question 1 : pas d'accès à Internet :
La réponse se trouve dans le newbie kit ! (et est répété très régulièrement)

* Question 2 : adressage en DMZ
Si les serveurs ont un adressage public, que se passerait il si une société amie ou cliente avait justement ces adresses ?

Il suffit de réfléchir une minute pour comprendre que BIEN evidemment, il faut choir un adressage privé.

Il est totalement inutile de prévoir un n° de réseau permettant plus de 253 serveurs !
Donc, un simple 192.168.99.0/24 est tout à fait suffisent !

* Question 3 : proxy transparent :
Pour quelle raison pensez vous que cela pourrait avoir la moindre influence ?
Est ce utile d'avoir accès à Internet pour un serveur en DMZ (hors un proxy) ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 23 Déc 2009 11:01

Ajoutons à tout ce qui précède qui est totalement justifié que dans la zone Orange les machines doivent posséder dans leur configuration les serveurs dns à utiliser pour joindre une machine par son nom sur Internet. Sur Orange ipcop ne fourni pas de cache dns.
Maintenant je pense que vous avez tout pour régler vos problèmes.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar metal_feul » 12 Avr 2010 22:30

1° est ce que je peut connecter a l'internet de puis mon serveur qui se trouve sur la zone orange de ipcop (DMZ).

2° est ce que l'adresse ip du serveur de la DMZ doit être public ou privé pcq le directeur de réseau ma dit qu'ils sont acheté les adresse ip des serveur.

3° mon objectif est de sécuriser les serveur DNS MAIL et WEB pou cela j'ai utiliser ipcop pour les protéger

et voila l'architecture ancienne du réseau

internet------->switch------->ipcop----------->LAN
-------->web
---------> mail
---------> DNS

le switch partage la connexion pour ipcop ,WEB,DNS,MAIL, comme vous voyez les serveur sont pas protéger

et voila ma nouvelle architecture proposer


internet------->ipcop 1---------> ipcop2----------->LAN

l'ipcop 1 configuré sur 3 interfaces red orange green les serveur sont connecter a l'interface orange
l'ipcop 2 configuré sur 2 interfaces red green

le test et comme suit
j'ai connecté un pc de test sur l'interface orange avec un câble croisé voila la configuration du pc de test
ip 193.194.86.2
masque 255.255.255.248
passerelle 193.194.86.1 (@ de l'interface orange)

avec cette configuration je peut connecter a l'internet MAIS si je changer l'@ip et mettre en place l' @ public du serveur mail par exemple (après débranchement de serveur mail ) la connexion est échoué

4° est ce que je doit tester les serveur DNS MAIL WEB ensemble au même temps ou c'est quoi ?

5° Est ce que c'est normal si je décide de changer les adresse ip des serveur en mettre 193.194.86.2 pour DNS et 193.194.86.3 pour Web ET 193.194.86.4 POUR mail .
metal_feul
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Déc 2009 19:14

Messagepar metal_feul » 18 Avr 2010 15:27

merci j'ai lu le newbi kit et j'ai trouvé la solution de mon problème

mais il y a une chose que je ne comprend pas

pour ouvrir la connexion de l'extérieur vers mes serveurs il faut connaitre les ports de ces serveur alors moi je connais rien concernant ces ports

j'ai les serveurs suivants : DNS, MAIL et WEB j'aime connaitre les ports fonctionnent pour mes serveur et

le protocole TCP ou UDP.
metal_feul
Matelot
Matelot
 
Messages: 7
Inscrit le: 22 Déc 2009 19:14

Messagepar Stirner » 18 Avr 2010 18:06

Et google y dit quoi ?
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar jdh » 18 Avr 2010 19:56

Dans un autre fil, sur le même sujet "serveur en zone Orange", j'ai écrit que

- il faut commencer par faire un tableau (zone, machine, adr ip, masque, passerelle, dns) pour voir si tout est bien logique,
- il faut ensuite tester la connectivité par ping et pour dns,
- il faut ensuite s'intéresser aux protocoles en jeu (et dans quel sens).

L'intérêt de cette façon "par étapes" permet de montrer que l'on progresse et de ne pas mélanger les problèmes.

Je pense qu'avoir accès à Internet exige d'avoir une résolution dns fonctionnelle.

Dans l'énoncé, comme je l'ai déjà écrit, il y a une anomalie mentionnée dans le newbie-kit et rappelée à plusieurs reprises qui doit apparaitre à l'étape 2.

Concernant les protocoles, je pense que Christian CALECA peut aider directement ...

NB : il me semble très hautement improbable d'héberger un serveur dns ! Pour les mails, s'il y a moins de 50 boites, je préconise de plutôt utiliser un hébergeur avec une offre clé en main domaine+boites+site web : cela n'est en rien un problème avec un serveur de mail type sme qui s'accommode bien de rapatrier les mails (par fetchmail).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron