DMZ encore

[lilouk77]

salut à tous,

voila j'utilise mnf comme firewall,
j'ai un serveur web sur mon lan qui a comme adresse 192.168.1.13 (il fonctionne tres bien aussi bien de l'interieur que de l'exterieur )

maintenant dans un soucis de securité , j'ai decider de mettre mon serveur web derière une dmz, je n'arrive pas à le faire fonctionner

voici ma config:

Serveur Web : 192.168.2.1 (j'ai changer son adresse pour le mettre dans la dmz)

Configuration des cartes Ethernet
eth0 lan 192.168.1.1 255.255.255.0 yes static admin
eth1 lan yes static admin
eth2 dmz 192.168.2.0 255.0.0.0 yes static admin

Definition des zones, interfaces et hôtes

Zones configurées:

1 lan LAN local_area_network
2 dmz DMZ demilitarized_zone
3 wan NET internet

Interfaces configurées

1 lan eth0 detect
2 lan eth1 detect
3 wan ppp+ detect
4 dmz eth2 detect

Masquage

ppp+:0.0.0.0/0 192.168.1.0/24
eth2:0.0.0.0/0 192.168.2.0/24

Configuration des règles générales

1 lan all REJECT
2 dmz all REJECT info
3 fw all REJECT info
4 wan all DROP info
5 all all REJECT info

Configuration des exceptions

2 ACCEPT dmz wan udp 53
9 ACCEPT lan dmz icmp 8
10 ACCEPT dmz lan icmp 8
11 ACCEPT dmz fw icmp 8
12 ACCEPT fw dmz icmp 8
34 ACCEPT lan dmz:192.168.2.1 tcp http
36 ACCEPT lan dmz tcp ftp
37 ACCEPT wan dmz tcp ftp


aidez moi merci

[fabzz007]

Salut je ne suis pas expert mais d'apres ce que j'ai pu lire sur la mnf et ses principes de base

j'ai cru comprendre qu'il vallait mieux eviter d'utiliser des plages d'adresses identique sur des interfaces diff

je m'explique il il vaudrait mieux que tu ai un truc du genre :

Configuration des cartes Ethernet
eth0 lan 192.168.1.1 255.255.255.0 yes static admin
eth1 WAN yes static admin (si cette interface est celle qui est relié au modem)
eth2 dmz 172.10.0.0 255.255.0.0 yes static admin

Definition des zones, interfaces et hôtes

Zones configurées:

1 lan LAN local_area_network
2 dmz DMZ demilitarized_zone
3 wan NET internet

Interfaces configurées

1 lan eth0 detect
2 WAN eth1 detect
3 wan ppp+ detect
4 dmz eth2 detect

Masquage

ppp+:0.0.0.0/0 192.168.1.0/24
eth2:0.0.0.0/0 192.168.2.0/24 je ne crois pas que cette ligne soit utile

Au niveau des regle de firewall je ne peux pas t'aider mais ça m'a l'air bon...


En tout cas je rappel que je ne suis pas expert donc attend peut etre de plus ample explication...

@++

[Methos_Hi]

pour le deuxième masquage c'est pas plutot
ppp+:0.0.0.0/0 192.168.2.0/24

Question : Même depuis le lan çà marche pas ? Si non, même directement avec l'IP ?

[lilouk77]

maintenant depuis le lan j'arrive à accéder au serveur web qui se trouve dans ma dmz,
mais je n'y accède pas depuis l'exterieur (wan);

aurais-je oublier cette règle:

accept fw dmz:192.168.2.2 tcp http

[Jacques-]

L'adresse de ton serveur en DMZ est privée et ne peux pas circuler sur le Web.
En gros, lorsque tu reçois un paquet en TCP sur le port 80 de ton adresse publique (côté WAN), ce paquet doit être renvoyé vers l'interface DMZ sur le même port à l'adresse de ton serveur.
Regarde la doc de la MNF, c'est dedans autant que je me souvienne dans la partie translation d'adresses.

Jacques

[lilouk77]

salut à tous,

donc concretement je dois faire koi pour que mon serveur web soit accessible depuis l'exterieur (wan) ?

merci pour votre aide

[Methos_Hi]

He ben concretement (comme conseillé précédement) tu dois lire la doc ...

Elle t'indiquera comment transférer les paquets qui arrivent sur ton interface wan (avec ip public) sur le port 80, vers ton serveur Web en DMZ.

Un truc du genre
ACCEPT wan:-:80 dmz:192.168.2.1 tcp http

[lilouk77]

j'ai rajouter ces règles :

35 ACCEPT wan:80 dmz:192.168.2.2 tcp http all
36 ACCEPT wan:21 dmz:192.168.2.2 tcp ftp all

37 ACCEPT wan:80 fw:192.168.2.2 tcp http all
38 ACCEPT wan:21 fw:192.168.2.2 tcp ftp

ça ne marche toujours pas depuis l'exterieur

aidez-moi

[Methos_Hi]

Ton serveur Web c 192.168.2.1 ou 192.168.2.2 parce qu'au début tu parles de "1" mais dans tes dernières règles de "2".

Pour en revenir a tes dernières modifs:
37 et 38 ne sert à rien et ne veut même rien dire car dans la zone fw ya que la mnf elle même alors ...
35 et 36 semblent ok bien que le "all" ... (chais plus quoi c alors...). Cependant vérifie bien que 192.168.2.2 c'est bien ton serveur web/ftp et fait en sorte que toutes les règles à son sujet soit cohérents avec la même adresse.

Ensuite je viens de regarder plus en détails une ligne
eth2 dmz 192.168.2.0 255.0.0.0 yes static admin
Ben çà aussi c'est un peut zarb car évidement 192.168.2.0 avec le 255.0.0.0 est une adresse ip valide mais qiu ne correspond pas à la classe C du 192 mais qui en plus le réseau défint en question recouvre le sous-réseau de la zone lan. A mon avis c pas bon.
Je te conseille pour aller avec le 192.168.2.2 (on va dire que c celle là) pour ton serveur web/ftp de mettre :
eth2 dmz 192.168.2.1 255.255.255.0 yes static


Je te rappelle également que normalement pour qu'un sous réseau puisse discuter avec Internet, il faut qu'il soit masqué par l'interface wan c'est pourquoi je t'avais conseillé analoguement à :
ppp+:0.0.0.0/0 192.168.1.0/24
çà
ppp+:0.0.0.0/0 192.168.2.0/24

et non
eth2:0.0.0.0/0 192.168.2.0/24 ce que toi tu avais mis. A noter au passage que "/24" signifie 255.255.255.0 d'où une incohérence avec ton 255.0.0.0 qui correspond à "/8".

Pour récapituler avec un copier-coller de ton premier post modifié qui demandera vérification par d'autres membres avant de tout casser.

--------------------------
voici ta config:

Serveur Web : 192.168.2.2 (j'ai changer son adresse pour le mettre dans la dmz)

Configuration des cartes Ethernet
eth0 lan 192.168.1.1 255.255.255.0 yes static admin
eth1 wan yes static admin
eth2 dmz 192.168.2.1 255.255.255.0 yes static admin

Definition des zones, interfaces et hôtes

Zones configurées:

1 lan LAN local_area_network
2 dmz DMZ demilitarized_zone
3 wan NET internet

Interfaces configurées

1 lan eth0 detect
2 wan eth1 detect Là j'ai un doute sur le caractère obligatoire de mettre wan ou lieu de lan et aussi sur le static. Cà serait pas plutot dhcp? Mais la doc répond à ces questions
3 wan ppp+ detect
4 dmz eth2 detect

Masquage

ppp+:0.0.0.0/0 192.168.1.0/24
ppp+:0.0.0.0/0 192.168.2.0/24

Configuration des règles générales

1 lan all REJECT
2 dmz all REJECT info
3 fw all REJECT info
4 wan all DROP info
5 all all REJECT info

Configuration des exceptions

2 ACCEPT dmz wan udp 53
9 ACCEPT lan dmz icmp 8
10 ACCEPT dmz lan icmp 8
11 ACCEPT dmz fw icmp 8
12 ACCEPT fw dmz icmp 8
34 ACCEPT lan dmz tcp http
35 ACCEPT wan:80 dmz:192.168.2.2 tcp http
36 ACCEPT lan dmz tcp ftp
37 ACCEPT wan:21 dmz:192.168.2.2 tcp ftp

[lilouk77]

salut Methos_Hi,

j'ai corriger en suivant tes conseils, mais je n'arrive toujours pas à accéder à mon serveur WEb 192.168.2.2 depuis l'exterieur, malgré le fait d'avoir rajouter les règles suivantes:

accept wan:80 dmz:192.168.2.2 tcp http
accept wan:21 dmz:192.168.2.2 tcp ftp

je n'y comprend rien

à l'aide

[Methos_Hi]

Avec quelle adresse essaies-tu d'accèder à ton serveur web ?

Est-ce que tu as coché la case "renvoyer" ? (Voir page 79 de la doc en francais)

[lilouk77]

Salut Methos_Hi,

il faut faire un renvoi à quel niveau ?

au niveau de la règle d'exceptions:

wan:80 dmz:192.168.2.2 tcp http renvoyer
wan:21 dmz:192.168.2.2 tcp ftp renvoyer

@plush

[Methos_Hi]

oui, pour intercepter le traffic entrant sur les ports 80 et 21 et les transférer vers ta machine serveur.
Cependant pour le FTP, il y a d'autres règles à entrer pour le ftp-data, en passif ou non.

[Methos_Hi]

En fait, je crois bien que je me suis gouré.
Je crois bien qu'il faut mettre dnat et non accept.
J'ai du faire un truc dans le genre pour la mule et accept il voulait. il voulait dnat.
Sorry.
Dis nous si c çà ...

[Souley]

Salut

Comme dit plus haut il te suffit de faire du nat de wan > DMZ
Edite ta regle en expert et change en nat plutot que accept

Souley