SSH sur le GREEN

[oriviera]

Bonjour,
OS debian6, IPCOP 1.4.21
Presentation du problème:
type reseau IPCOP green+RED
adresse live box 192.168.1.1
Adresse red 192.168.1.80 et RED 192.168.3.80
Dans le réseau RED j'ai un seveur LTSP adresse 192.18.3.142 et 192.168.4.X
J'ai active le serveur DHCP d'IPCOP
j'ai installé sur LTSP openssh-server et client
route d'IPCOP
192.168.3.0 0.0.0.0 255.255.255.0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 eth1
0.0.0.0 192.168.1.1 0.0.0.0 eth1
route LTSP
192.168.3.0 0.0.0.0 255.255.255.0 eth1
192.168.1.0 192.168.3.80 255.255.255.0 eth1
0.0.0.0 192.168.3.80 0.0.0.0 eth1
il n'y a pas encore eth0 car je m'occupe d'abord du GREEN.
sur le LTSP j'ai une iptable
#!/bin/sh
# permission de routage
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack
modprobe iptable_nat
modprobe ip_gre
#
# on accepte tout par défaut
#
iptables -t nat -P OUTPUT ACCEPT || exit
iptables -t nat -P PREROUTING ACCEPT || exit
iptables -t nat -P POSTROUTING ACCEPT || exit
iptables -t filter -P INPUT ACCEPT || exit
iptables -t filter -P OUTPUT ACCEPT || exit
iptables -t filter -P FORWARD ACCEPT || exit
iptables -t mangle -P INPUT ACCEPT || exit
iptables -t mangle -P OUTPUT ACCEPT || exit
iptables -t mangle -P FORWARD ACCEPT || exit
iptables -t mangle -P PREROUTING ACCEPT || exit
iptables -t mangle -P POSTROUTING ACCEPT || exit
#
#on flush
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
#
# on accepte tous les paquets d'une chaine input output et forward d'une connexion déjà établie
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
#
# la première ligne permet de ne plus avoir accès au réseau lan, si on veut pinger sur l'ensemble du réseau
# commenter la première ligne
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT
#
# règle qui permet une requete du lan de sortir sur internet ou en dns
iptables -t filter -A FORWARD -i eth0 -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
#
# règle qui masque leur adresse privée par celle du fw interface public
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#
# règle pour accepter les connexion ssh
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp --dport 22 -j ACCEPT

Aucn addon d'installer brut de chez brut,
seuls les accès externes, ssh ainsi serveur ntp les serveurs d'intrusions mandataire proxy sont activés.


Tests:
Je peux avec Puty aller sur Ipcop et sur son interface web à partir du réseau RED avec l'adresse 192.168.1.80
Je peux à partir du RED aller sur internet (seveur LTSP) ou par un pc que je met sur le reseau RED
Problèmes:
Il faudrait que je puisse avoir la main sur mon serveur LTSP à distance, or je ne peux pas pinguer celui-ci et
encore moins y accèder en ssh pour y faire de la maintenance.
Il me semble bien avoir parcouru votre site et ne pas avoir trouvé la réponse ou le déclic nécessaire pour me tirer de
ce petit souci.

J'espère avoir été assez clair dans ma description, si vous voulez d'autres renseignements qui vous semblent indispensables
j'y répondrai.
Merci d'avance pour un petit coup de pouce.

[jdh]

Bon, il y a des infos mais il faudrait faire le tri.

D'après ce que je comprends :

Schéma :
Internet <-> Livebox <-> (Red) Ipcop (Green) <-> réseau interne dont un serveur LSTP

Adressage :
Red : réseau 192.168.1.0/24, livebox 192.168.1.1, (Red) Ipcop 192.168.1.80
Green : réseau 192.168.3.0/24, (Green) Ipcop 192.168.3.80 (J'ai lu RED mais j'ai compris GREEN)

Srv LSTP : 192.168.3.142. Pourquoi un autre réseau ? Pourquoi une autre carte ? Conseil : une seule carte !


Observation :
Le serveur LSTP tourne sous Debian, il dispose de 2 cartes, vous avez prévu un firewall.
Conseil : une SEULE carte, firewall : pourquoi pas ! mais utiliser Shorewall plutôt qu'un script iptables !

Un accès ssh (ou autre) vers ce serveur exigera
- activation sur la livebox d'un transfert de port,
- activation sur Ipcop d'un transfert de port.
C'est assez facile à faire ...

Remarque :
- PAS de machine en zone Red : câble croisé entre Livebox et (Red) d'Ipcop ! (Sinon à quoi pourrait servir Ipcop ?)
- un serveur en interne doit disposer d'une et une seule carte réseau : 2 cartes et ce sera la bazar !
- on ne pourra certainement pas pinger le serveur depuis Internet : on ne peut pinger que la livebox !

[oriviera]

Bonjour jdh et merci,
Oui en effet bonne comprehension green en 192.168.3.80
Pourquoi un autre réseau, il me faut deux cartes pour l'accès externe et l'autre pour les clients légers,mais
le LTSP est sur le green.
J'utilise des switch pour éviter les cables croisés, l'association est trop grande.
sinon je ne vois pas avec mes connaissances (pas grandes) comment faire un LTSP avec une seule carte.
En fait il me manquait le transfert de port sur mon LTSP, j'accède bien au serveur LTSP en ssh.
Je vais voir au sujet de Shorewall.
Je ne veux pas pinguer le serveur d'internet d'ailleurs une fois en production ce sera carrément interdit.

Encore merci pour la réactivité jdh.

[oriviera]

Je ne veux pas pinguer le serveur à partir d'internet d'ailleurs une fois en production les pings seront interdits.

Encore merci pour la réactivité jdh.

[oriviera]

Petite question comment mettons que le sujet est résolu ?
Merci

[jdh]

Quelques réflexions :

- Seul un routeur ou un firewall nécessite 2 cartes réseau ... puisqu'il est entre 2 réseaux (qui doivent rester physiquement distinct).
- Sur une machine Linux, comme Windows, il est toujours possible d'utiliser un (petit) filtrage de type "firewall personnel". Pourquoi pas ! Mais ce n'est pas la première chose à faire : faire fonctionner la machine avant de limiter les accès, le firewall assurera la sécurité depuis l'extérieur.
- Un serveur LSTP ne nécessite qu'une carte réseau !
- LSTP c'est 2 étapes : booter des clients léger, puis faire un terminal server (comparable à TSE).
- Une bonne approche est d'utiliser des platines clients légers avec directement les bon protocoles de démarrage (rdp) !

Un guide complet se trouve à
- (doc) https://sourceforge.net/projects/ltsp/f ... f/download
- (wiki pour Debian) http://wiki.debian.org/LTSP

Perso, parce j'ai une petite expérience en terme de réseau, je ne m'aventurerai pas dans l'aspect "boot de thin-client" ...

Pour marquer résolu, il faut éditer le sujet du premier post du fil ... (cf les guides du forum)

[oriviera]

Bonjour jdh,
Merci pour tes indications. En fait au départ pour mon asso on avait simplement installer un LTSP(avec 2 cartes).
N'étant pas suffisamment à l'aise en iptable et préparant cette installation pour accueillir des enfants il fallait
compartimenter tout cela, pour respecter la LOI et que les enfants n'aillent pas trainer n'importe où.
Donc c'est pourquoi on a choisi IPCOP qui permettait de filtrer les accès et de sécuriser le réseau.
Une partie du RED est pour des postes lamda alors que la partie LTSP est pour des postes de récupération (Ordi2).
Voilà pourquoi il y a sur le serveur LTSP 2 cartes réseau et des switchs pour les différents postes.

voici la configuration du réseau

Internet---[box]--red---[ipcop]----green-----[ltsp]----les clients légers

[jdh]

2 cartes dans un serveur LSTP (ou un autre) sont inutiles et complexifient les choses pour rien !

Les pc clients peuvent être équipés d'une distribution très light avec xfce ou lxde comme système X-Windows.
Par exemple Xubuntu (xfce) ou Lubuntu (lxde), ...
cf http://xfce.org/download/distros

NB : avec Ubuntu à partir du cd alternate, il est possible de créer un serveur LSTP ... il n'est pas inutile d'utiliser des choses toutes faites en étant débutant ...

NB : les pc clients en Green peuvent être privé d'accès Internet aisément si on limite au serveur LSTP !