Probleme NAT avec la MNF

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar xMaximex » 15 Mars 2004 17:07

Bonjour <BR>J'ai installé hier la MNF sur un PII afin de l'utiliser comme firewall (hé!) sur mon réseau. <BR> <BR>J'ai configuré la connection ADSL par l'interface eth1 (192.168.1.103) et le réseau local (1 seul PC pour l'instant pour faire des tests) sur eth0 (192.168.1.104). J'ai utiliser l'interface Web pour configurer la connexion à Internet, tout marche #1, je réussis à pinger google.com à partir du firewall. J'ai aussi configuré un serveur DHCP qui fonctionne #1. Le probleme arrive lorsque j'essai de configuré un NAT pour permettre à mon LAN d'acceder à Internet. J'ai bien défini mes zones dans la configuration du pare-feu (eth0 = lan, eth1 = ppp+) et j'ai mit tout les règles par défaut à ACCEPTER (pour ne pas avoir de probleme avec le firewall durant les tests). Les exception, bin il y avais rien à REJECT alors je crois pas que le probleme soit la. <BR> <BR> <BR>Si quelqu'un peut m'aider .. svp <BR> <BR>Max<BR><BR><font size=-2></font>
Maxime

Image
Avatar de l’utilisateur
xMaximex
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 174
Inscrit le: 11 Mars 2004 01:00

Messagepar Malagan » 15 Mars 2004 17:29

Tu as activé le serveur DHCP de ton MNF? Si tu ne l'A pas fait, je te conseille de le faire car autrement, les postes que tu vas connecté n'auront jamais acces a internet, car la passerelle par défaut ne sera pas configurée comme il faut. Si tu ne veux pas utiliser de DHCP, tu devras alors configurer manuellement la configuration des cartes réseau une par une... ce qui peut s'avérer très long... <BR> <BR>J'espère t'avoir aidé. <BR> <BR>P.S. Change l'adresse IP de ta carte pour ton interface internet, car elle pourrait peut-être entrer en conflit ... Carte ETH0 et ETH1 sur le même réseau.... Au pire, sur ta carte ETH1, tu n'en mets pas d'adresse IP car tu n'en a pas besoin si tu utilise PPPoE.<BR><BR><font size=-2></font>
Avatar de l’utilisateur
Malagan
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 16 Fév 2004 01:00
Localisation: Québec, Canada

Messagepar Jacques- » 15 Mars 2004 18:14

Tu ne peux déjà pas avoir 2 adresses dans le même sous-réseau sur 2 cartes différentes dans 2 zones différentes. <BR>Supprime l'adresse IP de la carte ETH1 puisque tu es en PPPOE, elle ne sert pas, c'est l'interface PPP qui aura l'adresse publique. <BR>Ensuite, il faut activer le masquage d'adresse (zone masquerade dans l'interface de config) et masquer toute l'interface ETH0 par l'interface PPP+, définir l'adresse IP de la carte ETH0 comme routeur par défaut pour tes machines (via le DHCP) et activer le proxy squid (sur le réseau de ETH0). <BR>Soit le proxy est en mode transparent et il n'y a rien à configurer côté client, soit il faut mettre l'adresse du proxy dans chaque PC. <BR>De plus, la résolution de nom doit être possible si tu fais autre chose que du Web pour les postes du LAN (SMTP, POP, FTP). Dans ce cas, il faut soit ouvrir le port 53 en sortie du LAN vers le WAN et mettre les DNS de ton FAI dans les paramètres IP des PC (via DHCP) soit installer le DNS Caching de la MNF et mettre celle-ci comme serveur DHCP pour tes clients. <BR> <BR>Jacques <BR> <BR>PS: ouvrir le firewall en départ, si on veut, mais l'ouvrir en entrée même pour des tests est suffisant pour risquer l'installation d'un cheval de Troie.
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar xMaximex » 15 Mars 2004 19:13

Ok, j'ai fais les modifications: <BR> <BR>eth1 (qui est connecté directement au PC par un cross over) : 192.168.1.104/24 <BR>eth0 (qui est connecté au modem adsl) : plus d'IP <BR> <BR>La carte du PC: 192.168.1.160 avec comme passerelle: 192.168.1.104 et comme DNS les serveurs DNS de mon FAI (transmit par le MNF en DHCP) <BR> <BR>Les zones: <BR>lan -- eth1 <BR>wan -- ppp+ <BR> <BR>J'accede parfaitement à internet avec le MNF. Le proxy squid est activé en mode transparent. Le masquage est configuré comme ca: <BR> <BR>réseau masqué: 192.168.1.0/24 <BR>à travers l'interface: ppp+ <BR>réseau/masque optionel: rien <BR>SNAT: rien <BR> <BR>Résultat: PAS D'INTERNET SUR LES POSTES <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_confused.gif">
Maxime

Image
Avatar de l’utilisateur
xMaximex
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 174
Inscrit le: 11 Mars 2004 01:00

Messagepar Malagan » 16 Mars 2004 05:44

Essai de désactiver ton proxy. S'il est mal configuré, ce qui m'est déja arrivé, tu n'arriveras pas a te connecter car il va bloquer les connections. <BR> <BR>
Avatar de l’utilisateur
Malagan
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 16 Fév 2004 01:00
Localisation: Québec, Canada

Messagepar xadrez » 20 Mars 2004 10:42

J'avais le même problème... <BR> <BR>Vérifie que tu as bien autorisé le réseau local à sortir (dans Service/Proxy Web/Url Filter/Réseau Autorisé), dans ton cas, tu mets 192.168.1.0/24 <BR>
Avatar de l’utilisateur
xadrez
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 20 Mars 2004 01:00

Messagepar zashugan » 20 Mars 2004 11:42

j'ai un pote qui a mis mandrake 9.1 en firewall sur son réseau local perso. <BR>Il a fait les tests pcflank et son pc est partout en stealth! <BR> <BR>En quoi est ce que MNF diffère de Mandrake 9.1 ?!! <BR> <BR>Merci <IMG SRC="images/smiles/icon_smile.gif">
"Quand j'étais petit à la maison, le plus dur c'était la fin du mois... Surtout les trente derniers jours"

coluche
Avatar de l’utilisateur
zashugan
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 184
Inscrit le: 21 Avr 2003 00:00
Localisation: Nantes

Messagepar Jacques- » 21 Mars 2004 10:17

La MNF veut dire Multi Network Firewall, elle est conçue pour gérer une zone LAN, une zone WAN et plusieurs zone DMZ ce que ne fait pas vraiment la 9.x par défaut. <BR>De plus, il y a une interface de configuration et un proxy, serveur DHCP, IDS, etc... installés en standard avec. <BR>Mais le firewall est le même, il s'agit du noyau linux avec iptables pour filtrer et shorewall pour le configurer. <BR> <BR>Pour le problème de connexion du LAN vers le WAN , j'aurais tendance à penser que les postes du réseau local ne font pas de demande vers le web (et donc ne sont pas interceptés par le proxy) parce qu'ils ignorent l'adresse à demander. <BR>Si tu tapes un ping <!-- BBCode auto-link start --><a href="http://www.google.fr" target="_blank">www.google.fr</a><!-- BBCode auto-link end --> dans une fenêtre de commande d'un des PC du LAN, il y a de grandes chances qu'il réponde que l'adresse est inconnue. <BR>Si c'est le cas, il faut autoriser le trafic DNS entre le LAN et le WAN (nommé domain dans la MNF, ou le port 53 au minimum en UDP). <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron