[resolu] Configurer MNF pour travailler avec Win Remote Desk

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

[resolu] Configurer MNF pour travailler avec Win Remote Desk

Messagepar Stavinsky » 19 Juil 2005 14:57

Bonjour a tous,

Apres quelques heures de recherche infructueuse je poste ma question ici, en espérant
que c'est le bon endroit. Merci aux modérateurs de le lancer dans le bon panier (à 3 points)
si ce n'était pas le cas.

Premièrement une description sommaire de la situation:

Nous possédons dans l'entreprise un petit réseau protégé par une Mandrake MFN.

Nous avons une zone interne privée et une DMZ.

La machine sur laquelle tourne la Mandrake se situe derrière le routeur
ADSL (IP fixe en interne, IPp dynamique fournie par notre ISP). Elle fonctionne
en bastion multi patrie (3 cartes réseaux)

MFN est réglé pour rejeté tout par défaut, et nous créons les règles pour
les accès que nous voulons (Internet, ftp, etc.) autoriser.

Maintenant voila le point où je sèche :

Il m'a été demandé (par l'administrateur principal) d'ouvrir le Firewall de la MFN pour l'utilisation
du Desktop Remote Connection de Microsoft (port 3389). Le problème est que je
dois l'ouvrir pour permettre à un utilisateur Externe au réseau, ayant une IP dynamique
(faut bien compliquer le problème lol) d'accéder a la partie privée de notre réseau
(forward des entrées sur port 3389 sur une IP précise interne).

L'optique étant de l'autorisé à manager une machine précise en interne depuis un poste
externe de l'entreprise.

Est-ce réalisable ?

Si oui, de quelle manière quelle manière ?


ps :
Désolé pour cette question probablement très 'simple',
mais j'ai en tout et pour toute 4h de vol sur Mandrake et je ne suis pas très
familier du système remote desktop de MS.

Je vous remercie d'avance pour toute informations et aides que vous pourriez m'apporter.
Dernière édition par Stavinsky le 19 Juil 2005 16:17, édité 1 fois au total.
Stavinsky
Matelot
Matelot
 
Messages: 2
Inscrit le: 19 Juil 2005 14:07

Re: Configurer MNF pour travailler avec Win Remote Desktop

Messagepar Gandalf » 19 Juil 2005 15:24

Stavinsky a écrit:(forward des entrées sur port 3389 sur une IP précise interne).


Ne serait-ce pas ta réponse ? Un forward externe vers ton IP interne par le port 3389 en TCP ou/et UDP devrait suffire. Si ça ne fonctionne pas, la bonne vieille méthode d'un tail -f /var/log/messages quand quelqu'un essaye de se connecter et tu verras les trames en reject qui te permettront d'isoler les ports et protocoles à ouvrir.... en espérant qu'il n'y en ai pas des tonnes quand Crosoft est dans le coin !

@ +
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Re: Configurer MNF pour travailler avec Win Remote Desktop

Messagepar Stavinsky » 19 Juil 2005 15:39

Gandalf a écrit:
Stavinsky a écrit:(forward des entrées sur port 3389 sur une IP précise interne).


Ne serait-ce pas ta réponse ? Un forward externe vers ton IP interne par le port 3389 en TCP ou/et UDP devrait suffire. Si ça ne fonctionne pas, la bonne vieille méthode d'un tail -f /var/log/messages quand quelqu'un essaye de se connecter et tu verras les trames en reject qui te permettront d'isoler les ports et protocoles à ouvrir.... en espérant qu'il n'y en ai pas des tonnes quand Crosoft est dans le coin !

@ +


Je l'ai testé mais sans succès pour l'instant. Et ma piètre connaissance du monde Linux (donc de ses commandes et du reste) ne m'aide pas à regler le prob ;-)

Mais merci de me pointer une direction dans laquelle chercher, je vais explorer ces logs
et voir ce que je peux en tirer.



J'ai tourner autour de la règle suivante pour l'instant :

Rule Id 43
Result Accept
Logging Info
Services Pre-defined Services or Custom Port(s)
Pre-defined Services 3389
Protocol tcp+udp
Zone Ex: Zone:[Interface,IP or Subnet]:[Port]
Client wan 0.0.0.0 -
Server lan 10.*.*.* - (adresse precise en question)
Forwarding Address (-,all,IP) all
Source Address (SNAT) -


Est-ce la bonne voie ? ou je fais fausse route d'entrée ?


Merci encore pour les premiers idées.

[Edit]
Après lecture des logs, il semblerait qu'il n'aimait pas le 0.0.0.0 au niveau du Client wan.
Avec juste le wan en solo j'arrive a entrer depuis l'exterieur et atteindre la machine
cible dans notre laboratoire.

Merci encore pour la direction générale qui a déclenché la chtite étincelle.
Je vais faire quelques tests un peu plus approfondis sur le systeme du labo avant
que l'on ne passe sur la prod. Je mettrais les infos à jour si je tombe sur
quelque chose de bizarre (on sait jamais avec Crosoft).

Bonne journée a tous
Stavinsky
Matelot
Matelot
 
Messages: 2
Inscrit le: 19 Juil 2005 14:07


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité