copieur sur DMZ orange

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

copieur sur DMZ orange

Messagepar gogo974 » 26 Jan 2011 13:23

Bonjour,

Newbie sur ipcop j’ai besoin de votre aide,

J’ai installé ipcop dans mon entreprise . IPCOP GREEN<->RED fonctionne parfaitement :

(postes clients)
GREEN : 192.168.10.2
Masque : 255.255.255.0
|
Switch
|
Postes clients :
192.18.10.x
Serveur samba
192.18.10.170


(internet)
RED :192.168.1.3
Masque : 255.255.255.0
|
NEUFBOX:192.168.1.1


La semaine prochaine je reçois un copieur que je souhaiterai rendre accessible à mes salariés et aux visiteurs extérieurs avec portables. Je compte donc ajouter deux cartes réseaux sur mon firewall pour un BLUE et un ORANGE :



(serveurs)
ORANGE : 192.168.5.4
Masque : 255.255.255.0
|
Switch
|
Copieur réseau :
192.168.5.40
serveur samba2
192.168.5.100



(visiteurs extérieurs wifi)
BLUE :192.168.15.5
Masque : 255.255.255.0
|
Une vielle LIVEBOX :192.168.15.1


J’ai déjà fait quelques tests dans cette configuration (sans le copieur) :

Depuis ipcop :
Ping vers ORANGE (192.168.5.4) OK
Ping vers serveur SAMBA2 (192.168.5.100) OK
Ping vers GREEN (192.168.10.2) OK
Ping vers http://www.google.fr OK

En revanche
Depuis un poste en GREEN :
Ping vers http://www.google.fr OK
Ping vers ORANGE (192.168.5.4) OK
Ping vers serveur SAMBA2 (192.168.5.100) NON OK

Même chose pour la BLUE :
Ping vers http://www.google.fr OK
Ping vers ORANGE (192.168.5.4) OK
Ping vers serveur SAMBA2 (192.168.5.100) NON OK


Comment faire pour accéder à mes serveurs sur ORANGE a partir du GREEN et du BLUE ? En cherchant sur le web, je ne trouve personne qui rencontre ce problème à ce niveau. Ils ont généralement tous branché le serveur en direct avec un cable croisé sur ORANGE. Cela viendrait-il du SWITCH qui se trouve derrière ? Faut il indiquer à IPCOP les adresses de routage pour accéder au différents serveurs ?

Merci d’avance !

Pascal :D
gogo974
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Jan 2011 12:43

Re: copieur sur DMZ orange

Messagepar ccnet » 26 Jan 2011 13:32

Pour être sûr : avez vous jeté un œil au post épinglé qui s'appelle le Newbie Kit ?
viewtopic.php?f=10&t=24737&start=30
L'addon BOT est il installé ? (si ce n'est pas le cas c'est indispensable de le faire). BOT permet de contrôler le flux sortant qui est aussi dangereux que le flux entrant, même si cela n'est pas intuitif.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: copieur sur DMZ orange

Messagepar jdh » 26 Jan 2011 13:46

Bien évidemment, ccnet donne les bons conseils : newbie-kit (la base), BOT (indispensable).

Pour un copieur (ou une imprimante avec carte réseau), il y a 2 protocoles simples :
- lpd (515/tcp) : une @ip + une "queue" (lp ?)
- raw (9100/tcp : une @ip

Il suffira dans BOT d'écrire les règles Green -> @ip copieur / lpd, Blue -> @ip copieur / lpd, ...


NB : j'ajoute : il y a des infos dans ce fil, c'est une bonne chose !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: copieur sur DMZ orange

Messagepar gogo974 » 29 Mars 2011 12:35

C'est encore moi de retour avec mes tests !

Tout d'abord merci pour votre aide !! J'ai bien avancé grace à vous. :D
Voici où j'en suis arrivé :

(postes clients)
GREEN : 192.168.2.10
Masque : 255.255.255.0
|
Switch
|
Postes clients :
192.18.2.x
Serveur samba
192.18.2.170


(internet)
RED :192.168.1.10
Masque : 255.255.255.0
|
NEUFBOX:192.168.1.1


(copieur)
ORANGE:192.168.3.10
Masque : 255.255.255.0
|
copieur:192.168.1.100


Lorsque BOT est désactivé tout fonctionne parfaitement. Impression à partir de GREEN vers ORANGE. Accès interface web copieur.. Internet ok...

Lorsque je l'active plus rien. Lorsque je tape la commande iptables -F BOT_INPUT # iptables -F CUSTOMINPUT. Cela fonctionne pendant quelques minutes après ca s'arrête.

Voici mes règles:
Green Any => Orange Any : Impressions (LDP,raw,http)
Orange Any => Red Any : NAVIGATION (domain http smtp pop3 ftp ftp-data https pop3s smtps )
Green Any => Red Any : NAVIGATION (domain http smtp pop3 ftp ftp-data https pop3s smtps )
Green Green Network => IPCop : ACCES_IPCOP (Règle de base d accès à IPCOP SSH_IPCOP,PROXY_IPCOP,HTTPS_IPCOP)

Pourriez vous me dire ce que j'aurai pu oublier. Je souhaiterai dans un premier temps que BOT puisse fonctionner correctement.

Dans un deuxième tps, réussir à donner accès à internet au copieur(ouverture port smtp). Pour le moment ca ne fonctionne pas même quand bot est activé. Voici sa config:

Ip: 192.168.3.100
Masque: 255.255.255.0
Serveur primaire: 192.168.3.10
Serveur secondaire : 212.30.96.108

Voici un extrait du journal de ipcop:
14:21:58|GREEN DROP|eth0 |UDP |192.168.2.44 137(NETBIOS-NS)|x:x:x:x:x:x|192.168.2.255|137(NETBIOS-NS)

14:21:59 |GREEN DROP |eth0 |UDP|
192.168.2.144|60406|x:x:x:x:x:x|
192.168.2.10|53(DOMAIN)

14:22:00 |GREEN DROP |eth0 |UDP |192.168.2.144|60406|x:x:x:x:x:x|
192.168.2.10|53(DOMAIN)

Merci d'avance à vous !! :o
gogo974
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Jan 2011 12:43

Re: copieur sur DMZ orange

Messagepar jdh » 29 Mars 2011 15:36

Il n'est pas précisé comment le copieur est relié, autrement dit quel protocole a été choisi. (Il serait stupide de créer une règle pour un protocole inutilisé !)

Lorsque BOT est désactivé tout fonctionne parfaitement. [..] Lorsque je l'active plus rien
Il y aurait lieu d'incriminer la configuration de BOT !

Par exemple, le protocole http impose que le serveur soit atteint en 80/tcp (port tcp cible !).
Mais pas que le port source (celui du client) soit 80/tcp ! Ca ne fonctionnera ainsi qu'1 fois sur 65536 !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: copieur sur DMZ orange

Messagepar gogo974 » 29 Mars 2011 16:49

jdh a écrit:Il serait stupide de créer une règle pour un protocole inutilisé !


Effectivement, Green Any => Orange Any : Impressions (LDP,raw,http). Je vais supprimer raw.

jdh a écrit:'incriminer la configuration de BOT !


Je regarderai demain matin. Existe-il un fichier ou se trouve toute la configuration ? Je vais essayer de poster ca.


jdh a écrit:Par exemple, le protocole http impose que le serveur soit atteint en 80/tcp (port tcp cible !).
Mais pas que le port source (celui du client) soit 80/tcp ! Ca ne fonctionnera ainsi qu'1 fois sur 65536 !


Je n'ai à aucun moment modifié les ports. J'ai simplement autorisé "http" dans la liste des services proposé par ipcop (Green Any => Red Any : NAVIGATION (domain http smtp pop3 ftp ftp-data https pop3s smtps ). Je pense que c'est 80/tcp. Je vais vérifier.

Sauf erreur, j'ai suivi ce tutorial http://blockouttraffic.de/gettingstarted_fr.php puis j'ai créé les règles que j'ai donné ci-dessus. Si elles sont cohérentes, je vais essayer de réinstaller le composant et tout refaire pour voir...

Merci pour ton aide
gogo974
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Jan 2011 12:43

Re: copieur sur DMZ orange

Messagepar jdh » 29 Mars 2011 17:08

Le guide est tout à fait correct (puisque c'est la doc d'origine !).
Et il est logique que les services déjà définis sont correctement configurés.

L'erreur que je décris est l'erreur courante habituelle en créant soi-même un service : on peut confondre port source et port destination, c'est fréquent.

Il est notable que 'NAVIGATION' est très excessif (et trop ouvert !) :
- DOMAIN est inutile puisque c'est fourni localement,
- FTP-DATA est inutile puisque le conntrack ftp validera les paquets,
- POP3S et SMTPS sont très rarement utilisé,
- SMTP ne devrait être utilisé que vers le FAI qui fourni la ligne Internet.
(Et je ne suis pas spécialiste Ipcop).
Enfin personnellement, je n'autorise pas le personnel à récupérer son courriel personnel donc POP3 n'est pas autorisé en dehors du serveur pro (si c'est le cas).

La voie normale est une démarche "pas à pas" : la règle + config serveur + config imprimante + tcpdump + ajustement règle jusqu'à ce que cela fonctionne, puis on passe à la suite ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: copieur sur DMZ orange

Messagepar trollineto » 30 Mars 2011 16:30

jdh a écrit:Le guide est tout à fait correct (puisque c'est la doc d'origine !).
Et il est logique que les services déjà définis sont correctement configurés

... dans un monde parfait !

Et les bugs de documentation et d'exemples ? N'importe quoi !

P.S. : ... que les services SOIENT ...
trollineto
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 23 Nov 2007 13:35

Re: copieur sur DMZ orange

Messagepar trollineto » 30 Mars 2011 16:34

gogo974 a écrit:C'est encore moi de retour avec mes tests !


gogo974 a écrit:(copieur)
ORANGE:192.168.3.10
Masque : 255.255.255.0
|
copieur:192.168.1.100


Il y a une coquille dans l'adresse du copieur ?
trollineto
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 23 Nov 2007 13:35

Re: copieur sur DMZ orange

Messagepar trollineto » 30 Mars 2011 17:26

gogo974 a écrit:Dans un deuxième tps, réussir à donner accès à internet au copieur(ouverture port smtp). Pour le moment ca ne fonctionne pas même quand bot est activé. Voici sa config:

Ip: 192.168.3.100
Masque: 255.255.255.0
Serveur primaire: 192.168.3.10
Serveur secondaire : 212.30.96.108


Serveur primaire : ne fn pas : le DNS server d'IPCop est inaccessible depuis orange
trollineto
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 23 Nov 2007 13:35

Re: copieur sur DMZ orange

Messagepar trollineto » 30 Mars 2011 17:35

gogo974 a écrit:C'est encore moi de retour avec mes tests !

Lorsque BOT est désactivé tout fonctionne parfaitement. Impression à partir de GREEN vers ORANGE. Accès interface web copieur.. Internet ok...

Lorsque je l'active plus rien. Lorsque je tape la commande iptables -F BOT_INPUT # iptables -F CUSTOMINPUT. Cela fonctionne pendant quelques minutes après ca s'arrête.


Pouvez-vous poster le résultat de cette commande ?
Code: Tout sélectionner
iptables -nvL CUSTOMFORWARD && iptables -nvL CUSTOMINPUT && iptables -nvL BOT_FORWARD && iptables -nvL BOT_INPUT
trollineto
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 23 Nov 2007 13:35

Re: copieur sur DMZ orange

Messagepar gogo974 » 13 Avr 2011 10:23

Bonjour,

De retour... J'avance lentement mais j'avance c'est le plus important !

Tout fonctionne presque parfaitement maintenant. Lorsque BOT est activé :
- Impression copieur (green vers orange)
- Services par défaut (http,pop,smtp...)

Je bute maintenant sur la règle à créer pour permettre au copieur (orange) d'accéder au réseau green pour envoyer les scans:
Lorsque bot est désactivé, j'ai ouvert un port sur la DMZ (2687), ca fonctionne parfaitement. Mais lorsque j’active BOT, le scan refuse de partir.

Lorsque j'essaye de créer la règle : Interface Orange (Orange Network) => (Green Network) : Service 2687/TCP
Il refuse de me la valider et me met ce message d'erreur : Vous ne pouvez pas créer de règle ayant comme destination une adresse dans le réseau sécure (c-à-d de Bleu -> Réseau Vert)

J'ai essayé avec Interface Orange (Orange Network) => (ANY) : Service 2687/TCP mais ca ne fonctionne pas alors que lorsque bot est desactivé, ca fonctionne parfaitement car j'ai ouvert le port sur la DMZ (2687).

En regardant le log :
11:02:20 GREEN REJECT eth0 TCP 192.168.2.144 4687 ::::: 192.168.3.100 1063
11:02:23 GREEN REJECT eth0 TCP 192.168.2.144 4687 ::::: 192.168.3.100 1063
11:02:25 GREEN REJECT eth0 TCP 192.168.2.144 4687 ::::: 192.168.3.100 1063

192.168.3.100 (orange) est le copieur
192.168.2.144 (green) est le poste qui reçoit le scan

Ca semble pourtant tellement simple.... Auriez-vous une idée ?? #-o

Merci d'avance !
gogo974
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Jan 2011 12:43

Re: copieur sur DMZ orange

Messagepar jdh » 13 Avr 2011 10:46

Les copieurs qui offrent une fonction scan, la proposent soit via un programme dédié (p.e. SharpDesk pour Sharp) soit via un envoi de mail.

Il est largement à préférer l'envoi de mail (smtp=25/tcp).

NB : le trafic décrit semble aller de Green à Orange : peut-être faut-il l'autoriser ?
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité