Bonjour
j'ai installé une MNF 8.2, la configuration est la suivante :
eth0 lan 10.1.254.254/16
eth1 Wan 10.0.254.254/16
eth2 DMZ 192.168.0.1/24
j'ai un serveur SME 6.0 sur la DMZ en 192.168.0.254/16. Je voudrais accèder en SSH sur la SME depuis le lan et je tape donc dans les regles d'exceptions suivantes apres avoir lu le setup guide de shorewall:
ACCEPT LAN DMZ tcp ssh
accept wan fw tcp ssh
je lance un putty du lan sur 192.168.0.254 et cela ne marche pas la fenetre SSH s'ouvre et se referme sans message. Ou est le problème.
Je voudrais aussi que la SME puisse accèder aux http, https et ftp est ce que les règles suivantes sont OK :
ACCEPT DMZ WAN tcp http
ACCEPT DMZ WAN tcp https
ACCEPT DMZ WAN tcp ftp
Je cherche sur le forum MNF et je ne trouve pas de solution aurais je oublié quelque chose....
Merci
DMZ
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
par fabzz007 » 07 Oct 2004 10:52
Salut,
Je suis un peu newb mais voilà ce que j'en pense...
Pourquoi eth0 à la meme adresse que eth1 ? C'est une erreur de saisie ou pas ? ça ne peut pas marcher comme ça en tout cas...
"accept wan fw tcp ssh" c'est une faille de sécurité de permettre au wan de se connecter au firewall en ssh. Et puis surtout je ne pense pas que c'est inutile pour ce que tu veux faire.
La regle pour authoriser le ssh entre le lan et la dmz (sous MNF 8.2) doit ressembler à ça il me semble :
ACCEPT LAN DMZ:Ip_serveur_sme tcp ssh all
Tes regles pour que la DMZ accède au http https et ftp me paressent bonne...
En esperant avoir aidé
@+
Je suis un peu newb mais voilà ce que j'en pense...
Pourquoi eth0 à la meme adresse que eth1 ? C'est une erreur de saisie ou pas ? ça ne peut pas marcher comme ça en tout cas...
"accept wan fw tcp ssh" c'est une faille de sécurité de permettre au wan de se connecter au firewall en ssh. Et puis surtout je ne pense pas que c'est inutile pour ce que tu veux faire.
La regle pour authoriser le ssh entre le lan et la dmz (sous MNF 8.2) doit ressembler à ça il me semble :
ACCEPT LAN DMZ:Ip_serveur_sme tcp ssh all
Tes regles pour que la DMZ accède au http https et ftp me paressent bonne...
En esperant avoir aidé
@+
-
fabzz007 - Capitaine de vaisseau
- Messages: 339
- Inscrit le: 13 Mai 2004 14:36
- Localisation: Lyon
par dgaga2 » 07 Oct 2004 20:26
bonjour
j'ai essayer ce que tu m'as dit mais cela ne marche pas mieux. Voila mes regles qui sont toutes fois normale ou quelque chose me creve les yeux et je ne vois.
1 ACCEPT fw wan tcp+udp 53
2 ACCEPT dmz wan udp 53
3 ACCEPT lan wan udp 53
4 REJECT wan fw tcp 113
5 ACCEPT lan fw tcp 22
6 ACCEPT lan fw tcp 8443
7 ACCEPT fw lan icmp 8
8 ACCEPT lan fw icmp 8
9 ACCEPT lan dmz icmp 8
10 ACCEPT dmz lan icmp 8
11 ACCEPT dmz fw icmp 8
12 ACCEPT fw dmz icmp 8
13 ACCEPT lan wan tcp pop3
14 ACCEPT lan wan tcp smtp
15 ACCEPT lan wan tcp http
16 ACCEPT lan wan tcp https
17 ACCEPT lan wan tcp ssh
18 ACCEPT lan wan tcp ftp
19 ACCEPT lan wan tcp nntp
20 ACCEPT fw wan udp ntp
21 ACCEPT lan wan tcp imap
22 ACCEPT fw wan:20022 tcp ftp
23 ACCEPT lan fw::3328 tcp www all
24 ACCEPT fw wan tcp www
25 ACCEPT lan fw udp 53
26 ACCEPT fw wan:195.83.118.1 tcp ftp
27 ACCEPT lan wan:67.15.62.22 tcp ftp
28 ACCEPT lan dmz:192.168.0.254 tcp ssh all
29 ACCEPT dmz wan tcp http
30 ACCEPT dmz wan tcp https
31 ACCEPT dmz wan tcp ftp
je n'arrive non plus a faire du http et du ftp à partir du serveur SME sur la DMZ.
On lacant ethereal pour voir se qui se passe au niveau des trames il y a bien discussion entre ma machine et le serveur SME mais le serveur mais fin à la discussion sans raison.
Merci
j'ai essayer ce que tu m'as dit mais cela ne marche pas mieux. Voila mes regles qui sont toutes fois normale ou quelque chose me creve les yeux et je ne vois.
1 ACCEPT fw wan tcp+udp 53
2 ACCEPT dmz wan udp 53
3 ACCEPT lan wan udp 53
4 REJECT wan fw tcp 113
5 ACCEPT lan fw tcp 22
6 ACCEPT lan fw tcp 8443
7 ACCEPT fw lan icmp 8
8 ACCEPT lan fw icmp 8
9 ACCEPT lan dmz icmp 8
10 ACCEPT dmz lan icmp 8
11 ACCEPT dmz fw icmp 8
12 ACCEPT fw dmz icmp 8
13 ACCEPT lan wan tcp pop3
14 ACCEPT lan wan tcp smtp
15 ACCEPT lan wan tcp http
16 ACCEPT lan wan tcp https
17 ACCEPT lan wan tcp ssh
18 ACCEPT lan wan tcp ftp
19 ACCEPT lan wan tcp nntp
20 ACCEPT fw wan udp ntp
21 ACCEPT lan wan tcp imap
22 ACCEPT fw wan:20022 tcp ftp
23 ACCEPT lan fw::3328 tcp www all
24 ACCEPT fw wan tcp www
25 ACCEPT lan fw udp 53
26 ACCEPT fw wan:195.83.118.1 tcp ftp
27 ACCEPT lan wan:67.15.62.22 tcp ftp
28 ACCEPT lan dmz:192.168.0.254 tcp ssh all
29 ACCEPT dmz wan tcp http
30 ACCEPT dmz wan tcp https
31 ACCEPT dmz wan tcp ftp
je n'arrive non plus a faire du http et du ftp à partir du serveur SME sur la DMZ.
On lacant ethereal pour voir se qui se passe au niveau des trames il y a bien discussion entre ma machine et le serveur SME mais le serveur mais fin à la discussion sans raison.
Merci
- dgaga2
- Second Maître
- Messages: 44
- Inscrit le: 29 Avr 2004 09:36
par fabzz007 » 08 Oct 2004 09:43
J'ai encore jamais mis en place de DMZ mais voilà la maniere dont je m'y prendrai si je devais le faire :
1- Sur la MNF :
a) Mettre en place un masque classique du type :
eth1:0.0.0.0/0 192.168.0.0/24
b) Si tu utilise la fonction proxy de la mnf il faut authoriser la DMZ à utiliser la proxy si c'est le cas tu devrais avoir une regle qui s'ajoute automatiquement dans tes exeptions :
ACCEPT DMZ fw::3328 tcp www all
c) Ensuite voici les autres regles d'exeptions que tu dois avoir pour naviguer sur le net depuis la DMZ (ce sont celles que j'ai misent en place lorsque j'avais rajouter une zone LAN2 sur ma MNF mais je pense que ça doit etre pareil pour la DMZ :
ACCEPT DMZ wan udp 53
ACCEPT DMZ fw icmp 8
ACCEPT DMZ lan icmp 8
ACCEPT DMZ wan tcp pop3
ACCEPT DMZ wan tcp smtp
ACCEPT DMZ wan tcp http
ACCEPT DMZ wan tcp https
ACCEPT DMZ wan tcp ssh
ACCEPT DMZ wan tcp ftp
ACCEPT DMZ wan tcp nntp
ACCEPT DMZ wan tcp imap
ACCEPT DMZ fw tcp 8444
Concernant ta connexion en ssh du lan vers DMZ en fait je pense que la regle que je t'ai donné avant doit etre fausse. et que tu devrais la remplacer par celles ci :
ACCEPT lan DMZ tcp 22
ACCEPT lan DMZ tcp ssh
2- Sur le Serveur SME :
Verifier ta configuration ip, gatway et DNS.
@IP_SERVEUR_SME : 192.168.0.254/24
Passerelle : 192.68.0.1
@DNS_de_ton_FAI
Voilà. Je viens d'épuiser mon stock d'idées
J'espere que ça pourra t'aider.
@+ F@bz.
1- Sur la MNF :
a) Mettre en place un masque classique du type :
eth1:0.0.0.0/0 192.168.0.0/24
b) Si tu utilise la fonction proxy de la mnf il faut authoriser la DMZ à utiliser la proxy si c'est le cas tu devrais avoir une regle qui s'ajoute automatiquement dans tes exeptions :
ACCEPT DMZ fw::3328 tcp www all
c) Ensuite voici les autres regles d'exeptions que tu dois avoir pour naviguer sur le net depuis la DMZ (ce sont celles que j'ai misent en place lorsque j'avais rajouter une zone LAN2 sur ma MNF mais je pense que ça doit etre pareil pour la DMZ :
ACCEPT DMZ wan udp 53
ACCEPT DMZ fw icmp 8
ACCEPT DMZ lan icmp 8
ACCEPT DMZ wan tcp pop3
ACCEPT DMZ wan tcp smtp
ACCEPT DMZ wan tcp http
ACCEPT DMZ wan tcp https
ACCEPT DMZ wan tcp ssh
ACCEPT DMZ wan tcp ftp
ACCEPT DMZ wan tcp nntp
ACCEPT DMZ wan tcp imap
ACCEPT DMZ fw tcp 8444
Concernant ta connexion en ssh du lan vers DMZ en fait je pense que la regle que je t'ai donné avant doit etre fausse. et que tu devrais la remplacer par celles ci :
ACCEPT lan DMZ tcp 22
ACCEPT lan DMZ tcp ssh
2- Sur le Serveur SME :
Verifier ta configuration ip, gatway et DNS.
@IP_SERVEUR_SME : 192.168.0.254/24
Passerelle : 192.68.0.1
@DNS_de_ton_FAI
Voilà. Je viens d'épuiser mon stock d'idées
J'espere que ça pourra t'aider.
@+ F@bz.
-
fabzz007 - Capitaine de vaisseau
- Messages: 339
- Inscrit le: 13 Mai 2004 14:36
- Localisation: Lyon
par dgaga2 » 14 Oct 2004 19:23
Bonjour
Merci fabz, j'ai donc fait ce que tu as dit, tous fonctionnent sauf je n'arrive tjs pas à me connecter en SSH sur le serveur dans la DMZ malgré les règles écrites. Il se passe la chose suivante, il n'y a rien sur les log du firewall de ce cote cela à l'air de bien se passer mais il y a un refus de connection sur les logs du serveur SME dans la DMZ. Quelqu'un aurais t il une idée.
Merci
Merci fabz, j'ai donc fait ce que tu as dit, tous fonctionnent sauf je n'arrive tjs pas à me connecter en SSH sur le serveur dans la DMZ malgré les règles écrites. Il se passe la chose suivante, il n'y a rien sur les log du firewall de ce cote cela à l'air de bien se passer mais il y a un refus de connection sur les logs du serveur SME dans la DMZ. Quelqu'un aurais t il une idée.
Merci
- dgaga2
- Second Maître
- Messages: 44
- Inscrit le: 29 Avr 2004 09:36
par Jacques- » 15 Oct 2004 21:07
Jette un coup d'oeil sur /etc/hosts.all hosts.deny, xinetd.conf et/ou la config de ton serveur ssh.
Il y a probablement un rejet parce que ton client n'est pas dans le même réseau que ton serveur et que ce genre de cas doit être interdit par défaut.
Jacques
Il y a probablement un rejet parce que ton client n'est pas dans le même réseau que ton serveur et que ce genre de cas doit être interdit par défaut.
Jacques
-
Jacques- - Vice-Amiral
- Messages: 952
- Inscrit le: 23 Jan 2003 01:00
par dgaga2 » 18 Oct 2004 21:39
bonour jacques
je pense que tu as raison mais je ne sais pas quel fichier il faut modifier. sur les logues de la SME il y a bien un refus du serveur concernant la connection du client du reseau 10.1.O.O9 sur le reseau 192.168.0.0. Pourrais tu etre plus precis dans ta demarche.
Merci
je pense que tu as raison mais je ne sais pas quel fichier il faut modifier. sur les logues de la SME il y a bien un refus du serveur concernant la connection du client du reseau 10.1.O.O9 sur le reseau 192.168.0.0. Pourrais tu etre plus precis dans ta demarche.
Merci
- dgaga2
- Second Maître
- Messages: 44
- Inscrit le: 29 Avr 2004 09:36
8 messages
• Page 1 sur 1
Retour vers Mandriva MNF & SNF
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité