Gestion de ports comme IPCop ?

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Gestion de ports comme IPCop ?

Messagepar NeoKoD » 12 Mai 2004 21:46

Bonsoir,

Je viens de passer d'une veille beta3 d'IPCop 1.3 à SME 6.1.
Le but est de m'économiser une machine serveur, quitte a exposer la passerelle a plus de failles possibles.

La gestion des ports est très différente d'IPCop.
Sous IPCop, le réseau local peut faire des connexions via n'importe quel port vers Internet.
Sous SME, ce n'est pas possible par défaut.

Après quelque recherches sur le forum, il existe une contribution pour SME 5.6 afin d'ouvrir des ports. Cependant je ne sais pas si ça correspond bien a mon problème.
Est-ce que les ports doivent être "ouvert" pour que du réseau local on puisse utiliser certains ports vers l'exterieur ?
Ou est-ce simplement un "filtrage" qui empeche d'utiliser ces ports ?

De plus, cette contribution ne fonctionne que sous SME 5.6, mais il existe un thread sur le forum pour permettre de l'utiliser sur la 6.1 (je n'ai pas testé encore).

Bref, j'aimerais savoir s'il n'y a pas une régle à ajouter/enlever dans IPTables pour qu'il ne bloque plus les ports qui sortent vers l'exterieur ?

Merci beaucoup
Avatar de l’utilisateur
NeoKoD
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 167
Inscrit le: 18 Mai 2003 00:00
Localisation: Cergy (95)

nouvelle question...

Messagepar tobago » 12 Mai 2004 22:41

Bonsoir Neokod,

Je "m'immisce" dans ta question pour relancer un "vieux" post vu il y a qqs tps déjà vu sur IPCOP.
petit historique :
l'objet de ce "vieux" post concernait les pbs d'accès en ssh sur un PC du green de l'extérieur
à l'aide d'une solution client/serveur VNC.
il s'agissait en fait de mettre en place un tunnel ssh entre le PC distant et le PC du green.
Les chefs d'orchestre étant dans cette config Putty via IPCOP.

Je suis vivement intéressé par cette solution sur un serveur IPCOP 1.4a9.
Visiblement en ce qui te concerne cela avait parfaitement fonctionné après qqs essais infructueux
(tentatives de prise en main en local) dû à l'antispoofing "natif" d'IPCOP (précision de tomtom).

Avant d'aller plus avant dans ma réflexion et mes tests :

Pourrais-tu me préciser comment tu as paramétré ton transfert de port au niveau d'IPCOP de façon à "laisser
passer" les paquets qui arrivent sur un port précis d'IPCOP sur l'interface RED pour qu'ils puissent être routés
sans souci vers un PC du green (le client VNC) ?

excuse-moi par avance de suivre ta question par une autre question ! :oops:
merci pour ton aide



Avatar de l’utilisateur
tobago
Matelot
Matelot
 
Messages: 3
Inscrit le: 18 Mars 2004 01:00

Messagepar NeoKoD » 12 Mai 2004 23:07

J'ai juste utiliser le transfert de port, tout simplement.
Tu lui précises les ports à router et l'ip de la machine de ton LAN via l'interface "transfert de port".
Ca marche très bien.

Personne n'a une idée pour mon problème ?
C'est franchement contraignant la SME..
Avatar de l’utilisateur
NeoKoD
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 167
Inscrit le: 18 Mai 2003 00:00
Localisation: Cergy (95)

Messagepar Muzo » 13 Mai 2004 09:06

Bonjour,

Expliques d'abord le problème, peut-être que m'ouverture de port n'est pas nécessaire.

Dans la version 5.6, il n'y avait pas de règles spécifique qui bloqué les ports.

Par contre la contrib d'ouvertures de ports, ajoute une règle qui permet de le faire.

Ce qui m'étonnes c'est que les forums anglais disent que cette contribs fonctionne, et ici, personne ne l'essaie, mais parce qu'il y'a marqué 5.6> personne ne veut l'installer.

Et puis plutot que de faire un multipostage sur le sujet, tu aurais pu continuer celui-ci :
viewtopic.php?t=16282
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar NeoKoD » 13 Mai 2004 09:12

> Expliques d'abord le problème, peut-être que m'ouverture de port n'est pas nécessaire.
Comme je disais, depuis mon LAN je ne peux pas utiliser les ports que je souhaite vers l'exterieur.
Par exemple, de mon LAN je ne peux pas me connecter à l'IRC.
Est-ce un volontaire par SME ? ou est-ce un bug dans mon install ?
Si c'est volontaire, comment permettre l'utilisation de tous les ports possible dans le sens LAN vers Internet ?

> Et puis plutot que de faire un multipostage sur le sujet, tu aurais pu continuer celui-ci :
> viewtopic.php?t=16282
Oui et non vu que je ne sais pas s'il s'agit d' "ouvrir" des ports ou juste d'enlever des filtrages d'iptables..

Merci[/quote]
Avatar de l’utilisateur
NeoKoD
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 167
Inscrit le: 18 Mai 2003 00:00
Localisation: Cergy (95)

Messagepar Muzo » 13 Mai 2004 09:19

NeoKoD a écrit:> Expliques d'abord le problème, peut-être que m'ouverture de port n'est pas nécessaire.
Comme je disais, depuis mon LAN je ne peux pas utiliser les ports que je souhaite vers l'exterieur.
Par exemple, de mon LAN je ne peux pas me connecter à l'IRC.
Est-ce un volontaire par SME ? ou est-ce un bug dans mon install ?
Si c'est volontaire, comment permettre l'utilisation de tous les ports possible dans le sens LAN vers Internet ?


Non ce n'est pas volontaire de SME. Car de mon côté (v5.6) je me connecte à ICQ, MSN, IRC sans aucune modification de ports de ma SME.
As-tu renseigné tes serveurs DNS sur la machine du LAN? (c'est une idée comme ca)

NeoKoD a écrit:> Et puis plutot que de faire un multipostage sur le sujet, tu aurais pu continuer celui-ci :
> viewtopic.php?t=16282
Oui et non vu que je ne sais pas s'il s'agit d' "ouvrir" des ports ou juste d'enlever des filtrages d'iptables..

Merci


Y'a pas grande différence dans le résultat :) .
Ayant bosser sur une contrib qui génère iptable, je peux te dire que les ports ne sont pas fermés par défaut, mais certainement pas ouvert non plus.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar pkaer » 13 Mai 2004 09:21

Pour infos,

j'utilise en entreprise une SME 6.0.1 avec les fonctionalités de "port opening" et "renvoi de port". Cela fonctionne Nickel.

Par exemple j' ai ouvert les ports 3389 (TSE) et 1494 (Citrix) avec "port opening" et je les ai renvoyés sur les serveurs correpondants avec la fonction "renvoi de port".

Donc pas de soucis

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar Muzo » 13 Mai 2004 09:23

Merci :biz: :biz: :biz: :biz:
Enfin quuelqu'un de sérieux qui a testé :up:
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar NeoKoD » 13 Mai 2004 09:24

Ok, j'ai du merder du coté DNS alors.
Mon /etc/resolv.conf des mes machines pointent pourtant vers le serveur avec la bonne ip.
Pourtant j'ai bien accès au Web, c'est étrange non ?

Merci pour vos infos, ça me rassure :)
Avatar de l’utilisateur
NeoKoD
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 167
Inscrit le: 18 Mai 2003 00:00
Localisation: Cergy (95)

Messagepar Muzo » 13 Mai 2004 09:29

Pour en ête sur, installes la contrib de port-opening et regarde ce que ca donne en ouvrant les ports.

Mais je ne penses pas que cela résoudra ton problème.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar NeoKoD » 13 Mai 2004 09:32

Vous utilisez quel contrib, celui-ci :
http://www.muzo.homeip.net/nest/contrib ... q_Manager/ ?

C'est un peu galère si faut ouvrir tous les ports à la main pour utiliser des services LAN vers l'exterieur.
Le fait d'ouvrir des ports peut-il etre fait dans le sens que l'on souhaite ?
Par exemple autoriser les connexions IRC du LAN vers l'exterieur mais ne pas ouvrir le meme port sur la passerelle (imaginons que j'ai un serveur IRC qui tourne sur la passerelle).

Merci
Avatar de l’utilisateur
NeoKoD
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 167
Inscrit le: 18 Mai 2003 00:00
Localisation: Cergy (95)

Messagepar Muzo » 13 Mai 2004 09:37

Non, cette contrib ajoute d'autres fonctionnalités, je n'ai pas voulu refaire ce qui existait déjà. :wink:
(j'aime pas réinventer la roue)

Normalement elle s'appelle dmc-mitel-portopening-0.0.1-4.noarch.rpm , tu devrais la trouver sur contribs.org. (par contre regarde si il n'y a pas de version plus récente)
Dernière édition par Muzo le 13 Mai 2004 09:40, édité 1 fois au total.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar pkaer » 13 Mai 2004 09:38

@NeoKoD,

Pour faire le // avec IPCop, que j'utilise aussi, je dirai que le "port opening" de SME serait le "Acces Externes" d'IPCop et que le "renvoi de port" (là c simple) serait le "transfert de port" d'IPCop.

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar NeoKoD » 13 Mai 2004 09:49

J'ai trouvé je pense :
dmc-mitel-portopening-0.0.1-2.noarch.rpm

Pour ceux que ça intéresse :
http://www.acenet-tech.org/cdj/portopen/

Je vais tester ça ce soir.
Mais comme tu dis Muzo, je doute que mon problème soit lié.

Ce qui m'étonnes le plus c'est que j'accède à Internet sans problème.
Pour info, les serveurs FTP non plus n'étaient pas accessibles de mon LAN.
Avatar de l’utilisateur
NeoKoD
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 167
Inscrit le: 18 Mai 2003 00:00
Localisation: Cergy (95)

Messagepar NeoKoD » 13 Mai 2004 10:04

J'ai trouvé une version plus récente (0.0.1-4) :
http://contribs.org/contribs/dmay/mitel ... ng/SME5.6/

C'est étrange, c'est héberger sur le même serveur contribs.org mais il n'est pas listé lorsqu'on navigue dans les "contribs" disponible.
Leur site est pas très clair...
Avatar de l’utilisateur
NeoKoD
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 167
Inscrit le: 18 Mai 2003 00:00
Localisation: Cergy (95)

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron