DMZ en lan

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

DMZ en lan

Messagepar dommage » 11 Mai 2004 11:27

Bonjour,
J'utilise la MNF depuis quelques mois, et je ne trouve pas grand à redire... c'est du bon matos pour un firewall en PME. Cependant, j'ai un petit problème entre mon LAN et ma DMZ.
De mes postes Lan, je n'arrive pas à aller sur mon site par le biais d'un chemin
http://www.monsiteweb.com
Je ping bien mon serveur web via la dmz de mon Lan, mais impossible de surfer dessus.
J'ai lu toute la doc du forum, je ne vois pas la solution.
Je vous laisse ci-dessous la config du FW :

Précision:
Serveur Web : 10.0.0.20

Configuration des cartes Ethernet
eth0 lan 192.168.1.1 255.255.255.0 yes static admin
eth1 lan yes static admin
eth2 dmz 10.0.0.1 255.0.0.0 yes static admin

Definition des zones, interfaces et hôtes

Zones configurées:

1 lan LAN local_area_network
2 dmz DMZ demilitarized_zone
3 wan NET internet

Interfaces configurées

1 lan eth0 detect
2 lan eth1 detect
3 wan ppp+ detect
4 dmz eth2 detect

Hôtes configurés

1 wan ppp+ 192.168.1.0/24 routestopped

Configuration des règles générales

1 lan wan REJECT
2 dmz all REJECT info
3 fw all REJECT info
4 wan all DROP info
5 all all REJECT info

Configuration des exceptions

1 ACCEPT fw wan tcp+udp 53
2 ACCEPT dmz wan udp 53
3 ACCEPT lan wan udp 53
4 REJECT wan fw tcp 113
5 ACCEPT lan fw tcp 22
6 ACCEPT lan fw tcp 8443
7 ACCEPT fw lan icmp 8
8 ACCEPT lan fw icmp 8
9 ACCEPT lan dmz icmp 8
10 ACCEPT dmz lan icmp 8
11 ACCEPT dmz fw icmp 8
12 ACCEPT fw dmz icmp 8
13 ACCEPT lan wan tcp pop3
14 ACCEPT lan wan tcp smtp
15 ACCEPT lan wan tcp http
16 ACCEPT lan wan tcp https
17 ACCEPT lan wan tcp ssh
18 ACCEPT lan wan tcp ftp
19 ACCEPT lan wan tcp nntp
20 ACCEPT fw wan udp ntp
21 ACCEPT lan wan tcp imap
22 ACCEPT fw wan:20022 tcp ftp
23 ACCEPT lan fw::3328 tcp www all
24 ACCEPT fw wan tcp www
25 ACCEPT lan fw udp 53
26 DNAT wan dmz:10.0.0.20 tcp http
27 DNAT wan dmz:10.0.0.20 tcp ftp
28 DNAT lan dmz:10.0.0.20 tcp ftp
29 ACCEPT fw dmz:10.0.0.20 tcp http
30 DNAT lan dmz:10.0.0.20 tcp http

Merci d'avance
Avatar de l’utilisateur
dommage
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 03 Mars 2004 01:00

Messagepar theman3124 » 11 Mai 2004 11:29

Salut,

Je pense que ton problème vient de la résolution DNS...

Comment est ta conf sur ce point là ?
"Ça ne sert à rien tant qu'on n'en a pas besoin..."
Avatar de l’utilisateur
theman3124
Aspirant
Aspirant
 
Messages: 110
Inscrit le: 01 Fév 2003 01:00
Localisation: Toulouse

Messagepar dommage » 11 Mai 2004 16:02

Salut,

Mon DNS est géré par mon FAI.
Au niveau de la config de MNF :

Serveur DNS on

Premier serveur de transmission distant 194.2.0.20

Deuxième serveur de transmission distant 194.2.0.30

Dois-je aller modifier les lignes dans etc/hosts et rajouter un lien
Ip direct avec mon serveur web ?

merci d'avance
Avatar de l’utilisateur
dommage
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 03 Mars 2004 01:00

Messagepar Jacques- » 11 Mai 2004 16:29

Je penche aussi pour un problème de résolution de nom, assorti d'un rejet ensuite.
Si tu résous l'adresse www.monsite.com par le DNS de ton FAI, tu obtiens une adresse IP Publique.
Cette adresse est donc demandée par ton client LAN, qui se trouve dans 2 cas :
Soit la MNF laisse passer la requête LAN -> WAN et tu dois être jeté par ton FAI ensuite car cela reviendrait à vouloir te connecter en entrée/sortie sur la même adresse et je ne crois pas qu'ils laissent faire (mon FAI offre les services d'un proxy pour tester son propre site)
Soit le paquet est réentrant dans la MNF et routé vers la DMZ (pas sûr), et tu devrais trouver trace du rejet dans les logs.

Pour résoudre cela, il faudrait que la résolution de www.monsite.com dans le LAN retourne l'adresse de la machine en DMZ. Logiquement, la MNF n'a pas besoin de contacter ce site en devant faire une résolution de nom, donc tu dois pouvoir modifier le fichier /etc/hosts pour ajouter l'adresse DMZ sur ce nom.
Si le fichier host.conf donne bien l'ordre de recherche hosts puis bind, cela devrait aller.
Si ça ne passe pas encore, tu peux modifier la règle LAN->DMZ pour le HTTP et ajouter l'option LOG .
De cette façon tu pourras voir ce qui bloque éventuellement.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron