ipcop et forward de ports

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

ipcop et forward de ports

Messagepar b3n » 28 Avr 2004 14:37

jai un ipcop avec 3 cartes (lan, dmz, ext)

ces 3 cartes sont connectées sur 3 Vlan distincts d'un switch.

lan : 192.168.0.0/24 ---> eth0 : 192.168.0.254
dmz : 10.0.0.0/8 ---> eth1 : 10.0.0.254
ext : 172.16.0.0/16 ---> eth2 : 172.16.0.254

j'ai défini un forward de port 80 pour qu'il pointe vers mon serveur web en 10.0.0.1 (dans la dmz).

j'accède bien au serveur web en : http://172.16.0.254:80

mais si je fais http://10.0.0.1:80, ça marche aussi et c'est carrément pas normal çà.

quelqu'un a une idée là dessus ?
je sais pas si il me manque du NAT ou un truc du genre.


thx
b3n
Matelot
Matelot
 
Messages: 9
Inscrit le: 28 Mars 2004 19:58

Messagepar tomtom » 28 Avr 2004 15:42

Et pourquoi donc que ce serait pas normal ?????

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar b3n » 28 Avr 2004 16:15

bah parce que 10.0.0.1 c'est l'adresse sur le réseau de la DMZ et je veux pas que cette adresse soit directement accessible. Là seule adresse qui doit être accessible est 172.16.0.254 (adresse de mon interface RED), non ?
b3n
Matelot
Matelot
 
Messages: 9
Inscrit le: 28 Mars 2004 19:58

Messagepar nemesis » 28 Avr 2004 16:19

tu fais tes tests depuis où? Lan ou ext?

si c'est de puis l'ext normalement tu peux pas accéder à ta plage ip DMZ à moins que ta plage d'@ip soit publique....

s c'est depuis le lan tu accèderas à ton serveur web via son ip privée (et c'est normal) par contre via l'ip red ça m'étonne m'enfin .....


Nem.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar b3n » 28 Avr 2004 16:35

les tests sont faits depuis EXT

je suis d'accord que depuis EXT, je ne devrais pas avoir accès aux adresses internes de la DMZ parce qu'elles ne sont pas sensées être routables.

cependant, là les 3 plages d'adresses utilisées sur mes 3 Vlans sont non routables également...

je peux pas rajouter une couche de IPTABLES avec du NAT pour faire ce dont j'ai besoin?
b3n
Matelot
Matelot
 
Messages: 9
Inscrit le: 28 Mars 2004 19:58

Messagepar tomtom » 28 Avr 2004 16:36

Le forward de ports ajoute une autorisation de transfert vers la dmz.
Il est donc normal que ca fonctionne.

@Nem : Regarde attentivement, il utilise un reseau privé sur le red donc je suppose qu'il se connecte depuis ce reseau..

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar b3n » 28 Avr 2004 16:39

ok tomtom, mais je peux pas bidouiller un truc pour empêcher çà ? parce que c'est pas top quand même, tu trouves pas ?

[je suis d'accord que je suis dans un cas un peu particulier de l'utilisation d'ipcop]
b3n
Matelot
Matelot
 
Messages: 9
Inscrit le: 28 Mars 2004 19:58

[out of topic]

Messagepar nemesis » 28 Avr 2004 16:47

tomtom a écrit:Le forward de ports ajoute une autorisation de transfert vers la dmz.
Il est donc normal que ca fonctionne.

@Nem : Regarde attentivement, il utilise un reseau privé sur le red donc je suppose qu'il se connecte depuis ce reseau..

t.


ouiiiinnn tomtom tu sais bien que moi et les plages d'adresses ip on est pas vraiment amis mdr...

moi je prefère les plages de sable...

++

Nem.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar tomtom » 28 Avr 2004 17:11

b3n a écrit:ok tomtom, mais je peux pas bidouiller un truc pour empêcher çà ? parce que c'est pas top quand même, tu trouves pas ?

[je suis d'accord que je suis dans un cas un peu particulier de l'utilisation d'ipcop]


On peut toujours..

mais je vois pas trop l'interet d'imposer une nat dans ce cas precis..

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar b3n » 28 Avr 2004 17:13

bah justement pour que les machines de EXT n'aient pas connaissance des IP internes des serveurs de ma DMZ.

çà me semble une bonne raison, non ?
b3n
Matelot
Matelot
 
Messages: 9
Inscrit le: 28 Mars 2004 19:58


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron