[resolu] Configurer MNF pour travailler avec Win Remote Desk

[Stavinsky]

Bonjour a tous,

Apres quelques heures de recherche infructueuse je poste ma question ici, en espérant
que c'est le bon endroit. Merci aux modérateurs de le lancer dans le bon panier (à 3 points)
si ce n'était pas le cas.

Premièrement une description sommaire de la situation:

Nous possédons dans l'entreprise un petit réseau protégé par une Mandrake MFN.

Nous avons une zone interne privée et une DMZ.

La machine sur laquelle tourne la Mandrake se situe derrière le routeur
ADSL (IP fixe en interne, IPp dynamique fournie par notre ISP). Elle fonctionne
en bastion multi patrie (3 cartes réseaux)

MFN est réglé pour rejeté tout par défaut, et nous créons les règles pour
les accès que nous voulons (Internet, ftp, etc.) autoriser.

Maintenant voila le point où je sèche :

Il m'a été demandé (par l'administrateur principal) d'ouvrir le Firewall de la MFN pour l'utilisation
du Desktop Remote Connection de Microsoft (port 3389). Le problème est que je
dois l'ouvrir pour permettre à un utilisateur Externe au réseau, ayant une IP dynamique
(faut bien compliquer le problème lol) d'accéder a la partie privée de notre réseau
(forward des entrées sur port 3389 sur une IP précise interne).

L'optique étant de l'autorisé à manager une machine précise en interne depuis un poste
externe de l'entreprise.

Est-ce réalisable ?

Si oui, de quelle manière quelle manière ?


ps :
Désolé pour cette question probablement très 'simple',
mais j'ai en tout et pour toute 4h de vol sur Mandrake et je ne suis pas très
familier du système remote desktop de MS.

Je vous remercie d'avance pour toute informations et aides que vous pourriez m'apporter.

[Gandalf]

(forward des entrées sur port 3389 sur une IP précise interne).

Ne serait-ce pas ta réponse ? Un forward externe vers ton IP interne par le port 3389 en TCP ou/et UDP devrait suffire. Si ça ne fonctionne pas, la bonne vieille méthode d'un tail -f /var/log/messages quand quelqu'un essaye de se connecter et tu verras les trames en reject qui te permettront d'isoler les ports et protocoles à ouvrir.... en espérant qu'il n'y en ai pas des tonnes quand Crosoft est dans le coin !

@ +

[Stavinsky]

(forward des entrées sur port 3389 sur une IP précise interne).

Ne serait-ce pas ta réponse ? Un forward externe vers ton IP interne par le port 3389 en TCP ou/et UDP devrait suffire. Si ça ne fonctionne pas, la bonne vieille méthode d'un tail -f /var/log/messages quand quelqu'un essaye de se connecter et tu verras les trames en reject qui te permettront d'isoler les ports et protocoles à ouvrir.... en espérant qu'il n'y en ai pas des tonnes quand Crosoft est dans le coin !

@ +

Je l'ai testé mais sans succès pour l'instant. Et ma piètre connaissance du monde Linux (donc de ses commandes et du reste) ne m'aide pas à regler le prob

Mais merci de me pointer une direction dans laquelle chercher, je vais explorer ces logs
et voir ce que je peux en tirer.



J'ai tourner autour de la règle suivante pour l'instant :

Rule Id 43
Result Accept
Logging Info
Services Pre-defined Services or Custom Port(s)
Pre-defined Services 3389
Protocol tcp+udp
Zone Ex: Zone:[Interface,IP or Subnet]:[Port]
Client wan 0.0.0.0 -
Server lan 10.*.*.* - (adresse precise en question)
Forwarding Address (-,all,IP) all
Source Address (SNAT) -


Est-ce la bonne voie ? ou je fais fausse route d'entrée ?


Merci encore pour les premiers idées.

[Edit]
Après lecture des logs, il semblerait qu'il n'aimait pas le 0.0.0.0 au niveau du Client wan.
Avec juste le wan en solo j'arrive a entrer depuis l'exterieur et atteindre la machine
cible dans notre laboratoire.

Merci encore pour la direction générale qui a déclenché la chtite étincelle.
Je vais faire quelques tests un peu plus approfondis sur le systeme du labo avant
que l'on ne passe sur la prod. Je mettrais les infos à jour si je tombe sur
quelque chose de bizarre (on sait jamais avec Crosoft).

Bonne journée a tous