Redondnat... Dmz de SME sur IP-Cop = rien !

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Messagepar Pabze » 12 Mars 2004 01:49

Voilà, je m'explique : <BR> <BR><!-- BBCode Start --><B>IP-Cop 1.4.0b1 avec trois cartes réseaux :</B><!-- BBCode End --> <BR>Red = Modem cable en pppoe. <BR>Orange = 192.168.221.250 MASK = 255.255.255.0 <BR>Green = 192.168.222.248 MASK = 255.255.255.0 <BR> <BR>DNS d'oléane 194.2.0.20 et 194.2.0.50 <BR> <BR><!-- BBCode Start --><B>SME6 sur DMZ IP-Cop en server-only :</B><!-- BBCode End --> <BR>Orange = 192.168.221.252 MASK = 255.255.255.0 <BR> <BR>En passerelle = 192.168.221.250 (Adresse DMZ d'IP-Cop) <BR>En DNS = DNS d'Oléane 194.2.0.20 <BR> <BR>----------------------------- <BR> <BR>Depuis le réseau du Lan sur mon poste client j'accéde à internet sans probléme. <BR>J'accéde à mon serveur web, ftp, et mails par la configuration depuis "Accès à la DMZ" d'IP-Cop. <BR> <BR>Depuis IP-Cop je ping mon Lan, internet fonctionne (normal <IMG SRC="images/smiles/icon_lol.gif"> ) et je ping mon SME6 <BR> <BR>Depuis SME je ping mon IP-Cop <BR> <BR>----------------------------- <BR> <BR><!-- BBCode Start --><B>En revanche :</B><!-- BBCode End --> <BR> <BR>Depuis mon SME6 je n'accéde pas au net, aussi bien par le ping d'adresse IP (195.140.140.28) que par nom dns (www.ixus.net) <BR> <BR>Qu'ai je oublié dans ma configuration ? <BR>Sachant que j'ai forwardé depuis IP-Cop les ports : <BR>53 (TCP/UDP) vers SME6 <BR>80 (TCP) vers SME6 <BR>443 (TCP) vers SME6 <BR>25 (TCP) vers SME6 <BR>110 (TCP) vers SME6 <BR> <BR>Et que je reçoit mes mails, l'internet accéde à mon site web... <BR> <BR>----------------------------- <BR> <BR>J'ai cherché sur le forum (sisi promis <IMG SRC="images/smiles/icon_lol.gif"> ) Mais la seule chose qui me paraissait concluante ne concerné que MNF et SME en DMZ : <BR><!-- BBCode Start --><I>Sous MNF, il faut masqué l'accés au web pour la DMZ (comme pour le Green)</I><!-- BBCode End --> <BR> <BR>Mais là je ne comprends pas se qu'il veut dire ? <BR> <BR>Un peu d'aide ! <BR> <BR>_________________ <BR>Windows veut dire fenêtres en anglais... sisi, Bill Gates a inventé l'entrée la plus sûr pour le développement du piratage informatique ! <BR><BR><font size=-2></font>
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Franck78 » 12 Mars 2004 02:16

<BR> <BR>Sachant que j'ai forwardé depuis IP-Cop les ports : <BR>53 (TCP/UDP) vers SME6 <BR>80 (TCP) vers SME6 <BR>443 (TCP) vers SME6 <BR>25 (TCP) vers SME6 <BR>110 (TCP) vers SME6 <BR> <BR> <BR> <BR>Dis, ton serveur dns, il est sur IpCop ! <BR>Pourtant tu fais suivre 53 vers ton SME. <BR> <BR>Si il y aussi un dns sur ta sme, il est inutile <BR> <BR>
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tomtom » 12 Mars 2004 12:11

<BR>Salut, <BR> <BR>Quelques pistes : <BR> <BR> <BR>- Que te donne un traceroute depuis ta SME ? <BR> <BR>- Passes-tu bien par la passerelle ? <BR> <BR>- ensuite, verifies les règles du firewall (si ca se trouve, en version 1.4 alpha, l'acces de orange vers red a été bloqué.. ) <BR> <BR>- enfin, tu dis que tu n'accedes pas au red.. As-tu testé autre chose que le ping (ftp, http ...). <BR>C'est pas impossible que l'icmp soit filtré... <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Pabze » 12 Mars 2004 18:22

Par le traceroute depuis SME, je vois bien qu'il arrive sur l'adresse orange d'IP-Cop, puis aprés plus rien... <BR> <BR>Il ne fait qu'une ligne et aprés des étoile... <BR> <BR>Et je reçoit dans plein de mail de <!-- BBcode auto-mailto start --><a href="mailto:root@mondomaine.com">root@mondomaine.com</a><!-- BBCode auto-mailto end --> m'indiquant que "Probleme SNMP" <BR>Aprés mise a jour impossible antivirus...squidguard... <BR> <BR>Donc rien ne sort ! <BR> <BR>Alors, comment ouvrir depuis IP-COP l'accés au web pour la DMZ ??? <BR> <BR>PLEASE !!!!! Je n'en ai pas encore dormis !!! <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif">
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Franck78 » 12 Mars 2004 19:16

T'as réglé ton choix de dns ? ne forward pas 53 <BR> <BR>Ensuite utilises nmap et tcpdump <BR>pour voir ce qui est ouvert et ce <BR>qui passe. <BR> <BR>Souvent, ca sort correctement et la réponse <BR>revient au mauvais endroit, ou bloquée... <BR> <BR> <BR>
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tomtom » 12 Mars 2004 19:23

iptables -I FORWARD -i $iface_orange -o $iface_red -j ACCEPT <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Pabze » 12 Mars 2004 20:30

Euh... ne cris pas... <BR> <BR>en rajoutant ce que tu m'as donné dans /etc/rc.d/rc.local j'ai ceci qui apparait : <BR> <BR>Warning: wierd character in interface `-o' (No aliases, :, ! or *). <BR> <BR>_________________ <BR>Windows veut dire fenêtres en anglais... sisi, Bill Gates a inventé l'entrée la plus sûr pour le développement du piratage informatique !<BR><BR><font size=-2></font>
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Franck78 » 12 Mars 2004 20:44

Dans rc.local, les variables $xxxx que tu utilses <BR>n'existent pas. <BR>C'est dans rc.firewall.local (1.4) <BR>qu'il faut bidouiller <BR> <BR>Et en respectant le cadre de fonctionnement <BR>case $1 <BR> start) dsfsdf ;; <BR> stop) dfgdfg;; <BR> *) echo What??? <BR>esac <BR> <BR>(prend pour modèle rc.firewall)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Pabze » 12 Mars 2004 21:35

Voila ce que je trouve dans mon rc.firewall concernant mon reseau orange : <BR> <BR># DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow <BR># ORANGE to talk to GREEN / BLUE. <BR> /sbin/iptables -N DMZHOLES <BR> if [ "$ORANGE_DEV" != "" ]; then <BR> # This rule enables a host on ORANGE network to connect to the outside <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp <BR> -o $RED_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp <BR> -o $RED_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -m state --state NEW -j DMZHOLES <BR> fi
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Pabze » 12 Mars 2004 21:45

Voila, j'ai rajouté dans rc.firewall : <BR> <BR>/sbin/iptables -I FORWARD -i $ORANGE_DEV -o $RED_DEV -j ACCEPT <BR> <BR>Puis un /etc/rc.d/rc.firewall restart <BR> <BR>Pas de Warning... <BR>Mais toujours rien pour la sortie de mon SME6... on rentre dessus, mais on ne peut en sortir... <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_help.gif">
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Franck78 » 12 Mars 2004 22:16

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> <BR># DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow <BR># ORANGE to talk to GREEN / BLUE. <BR> /sbin/iptables -N DMZHOLES <BR> if [ "$ORANGE_DEV" != "" ]; then <BR> # This rule enables a host on ORANGE network to connect to the outside <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp -o $RED_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp -o $RED_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -m state --state NEW -j DMZHOLES <BR> fi <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Ces règles existent déja dans le script original. <BR>Elles permettent bien de laisser tout sortir vers RED <BR>et <BR>la liste DMZHOLES "les trous" vers GREEN <BR>Il y a aussi -J RELATED ESTABLISHED plus avant. <BR> <BR>Ne cherche pas de ce coté. C'est autre chose ton problème. <BR> <BR> <BR>
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Pabze » 12 Mars 2004 22:34

Bon... <BR> <BR>Sur IPCOP j'ai trois cartes... <BR>Je mets les DNS d'oleane sur mon IP-Cop <BR> <BR>Sur ma SME je mets une IP de la plage de celle etant sur mon IP-Cop. <BR>Les deux se ping... <BR>En passerelle je mets l'IP de la carte orange d'IP-Cop <BR>En DNS, je mets quoi ???? Car je n'ai pas de serveur DNS sur mon SME, il me faut donc utiliser ceux de quelqu'un autre ! <BR> <BR>1°) Je ne mets rien ? <BR>2°) Je mets l'IP de la carte orange de IP-Cop ? <BR>3°) Je mets les DNS d'oléane ? <BR> <BR>Pour info j'ai essayé les trois sans succés ! <BR>Me manque t'il quelque chose sur ma SME ? IP-COP (Forward, transfert, ouverture de ports ??) <BR> <BR>IP-Cop <BR>TCPDUMP sur eth0 : il sort bien vers l'exterieur. <BR>TCPDUMP sur eth1 : il va bien sur mon SME (qui selon les DNS rentré changent) <BR>TCPDUMP sur eth2 : il va bien sur le lan. <BR> <BR>SME6 <BR>TCPDUMP sur eth0 : (selon les DNS rentré) <BR>si ceux d'oléane il va sur mon reseau local !! (Pas normal, il devrait sortir) <BR>si rien, rien ! <IMG SRC="images/smiles/icon_lol.gif"> <BR>si IP de la carte orange de IP-Cop, il se bloque à celle-ci <BR> <BR>Je desespére... <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif">
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Pabze » 13 Mars 2004 02:40

Toujours pas d'amélioration... <BR> <BR>Je rajoute que le pare-feu d'IP-Cop me loggue tout ce qui vient depuis ma DMZ ! <BR>Alors le bloque t'il ou loggue t'il simplement qu'il y a eu des accés ?? <BR> <BR>Mais je pense plutot que le soucis vient d'IP-cop et non de sme... <BR> <BR>En espérant qu'un des génies de ce forum trouve dans ses rêves la réponse à mon probléme ! <BR> <BR>Bonne fin de nuit à tous !! <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Chao! <IMG SRC="images/smiles/icon_bise.gif">
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar Franck78 » 13 Mars 2004 03:56

1) Vires le forward du port 53/tcp/udp vers ORANGE <BR>2) Choisi l'@ip de la carte réseau ipcop comme <BR>passerelle et dns. <BR>3) Vérifie encore une fois que tes trois cartes réseau <BR> ipcop sont bien celles que tu crois! <BR>4) Supprime toutes tes modifs de script <BR> <BR>Tu dois pinger internet depuis orange. <BR>-une adresse ip <BR>-www.ixus.net <BR> <BR>Ca marche pas ? <BR> <BR>Vire SME, branche ta station de travail à la place <BR>en corrigeant IP MASK et DNS <BR>ping ! <BR> <BR>Ca marche : c'est sur le SME. Mets le en GREEN et cherche. <BR>Ca marche pas : c'est ipcop <BR> <BR>A verifier <IMG SRC="images/smiles/icon_frown.gif">moi j'ai pas de ORANGE pour le faire) <BR>mon squid.conf est taillé pour accepter les clients <BR>GREENS. Pas ceux de la dmz. <BR>look /var/ipcop/proxy/squid.conf <BR>si tu reconnais ton réseau orange. <BR> <BR>#iptables -t nat -L SQUID <BR>donne un redir any any dport 80 vers dport 800 <BR>Et squid rejette tout ce qui n'est pas GREEN.... <BR>Et sur le net 800, c'est rien ! <BR> <BR>Désactive SQUID et ressaye. <BR> <BR>
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar pkaer » 13 Mars 2004 09:05

Salut, <BR> <BR>Si cela peut t'aider, voici qq conseils trouvés sur <!-- BBCode auto-link start --><a href="http://www.ipcops.net" target="_blank">www.ipcops.net</a><!-- BBCode auto-link end --> <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ipcops.net/modules.php?op=modload&name=PNphpBB2&file=viewtopic&t=2042" target="_blank">http://www.ipcops.net/modules.php?op=modload&name=PNphpBB2&file=viewtopic&t=2042</a><!-- BBCode auto-link end --> <BR> <BR>@+ <BR>PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité