Tests de Transfert de ports

[elgrandido]

Bonjour,

Je suis en train de tester IPCop à mon TAF.
J'ai un soucis avec le transfert de port.
Je teste actuellement IPCop comme ceci :

Machine de Test "extérieure" --> RED IPCop GREEN --> LAN de ma boîte.

J'ai donc 2 carte réseaux, une GREEN connecté au LAN et une RED connecté avec un câble croisé à une autre machine qui me permet de tester le filtrage d'IPCOp.

Je ne sais pas si j'ai fait une erreur dans ma conf réseau mais la voici :
RED : IP statique 192.168.0.1
GREEN : IP statique 10.100.*.*

Je ping toutes les machines entre elles mais le transfert de port ne marche pas depuis la machine de test extérieure. Je fais un transfert comme ceci :
TCP DEFAULT IP : 80(HTTP) => 10.100.*.* : 80(HTTP)

J'ai testé avec la version 1.3.0 et la 1.4.9b4, parcouru la doc IPCop et ce forum, rien trouvé.

Merci pour les réponses.

[Yvan]

bonsoir,

tu dis que ton transfert de port est:

TCP DEFAULT IP : 80(HTTP) => 10.100.*.* : 80(HTTP)

je suppose que pour 10.100.*.* tu n'a pas mis les etoiles mais l'adresse ip du serveur web que tu veut joinde sur le port 80 ??

[elgrandido]

Oui bien sûr

[thoms5590]

bonjour a tous


pour ma part j'aile meme proble avec la 1.3 et la 1.4 et en plus sur la 1.4 je ne sais pas mettre des alias supplementaire

a+

[coolpok]

Personnellement je n'ai eu aucun probleme que ce soit avec la 1.4.0b3 ou avec la 1.3.0, quel type de machine est placé en tant que serveur (l'ip 10.100.*.*, nunux ou windows?) , a tu activé un quelquonque firewall dessus, si oui ton problème viens peut-etre de la.
Ton transfert de port tu la fait manuellement(ssh) ou via l'interface graphique?
As tu tenter avec un logiciel de scan de scanner les différents ports ou à tu tenter une connexion avec telnet?
voila

[elgrandido]

La machien serveur est un Linux (serveur Aapche accessible depuis tout le LAN).
Il n'y a aucun firewall, c'est un serveur interne de test.

J'ai fait le transfert de port via l'interface graphique.

Oui, j'ai scanné l'IPCop, aucun port n'est ouvert.

[coolpok]

ok donc,
ha tu tenter une session telnet?
Lorsque tu tente dacceder à ton serveur, quelle est l'erreur renvoyer (403 404 500 ...) et as tu regarder dans les logs du serveur apache si la connexion était détectée?
Bon sinon cela dépasse le domaine de mes compétances

[elgrandido]

Oui, j'ai fait un telenet --> Time-out.
L'erreur que j'ai est un "Impossible d'afficher la page", impossible de trouver l'erreur DNS, blabla.
Rien dans les logs Apache. Aucune connexion.

C'est comme si IPCop acceptait la connexion (la connexion n'est pas rejetée) mais ne la transmettait pas.
Rien dans les logs firewall d'IPCop lorsque j'ai mon transfert activé, si je le supprime, je vois la connexion dans les logs.

Merci quand même

[SNORK]

bonjour a tous


pour ma part j'aile meme proble avec la 1.3 et la 1.4 et en plus sur la 1.4 je ne sais pas mettre des alias supplementaire

a+

Toi, tu es sur tous, les topics, et lorsque l'on te donnes une piste, tu répond "je test "puis plus de nouvelle... enfin si mais sur un autre topic.

[coolpok]

bon la désolé mais je ne vois vraiment pas.

[elgrandido]

Ok, merci d'avoir pris le temps de m'aider

[nemesis]

Hello

Copies nous le résultat d'un iptable -L

++

Nem.

[elgrandido]

Voilà la copie d'un iptables -L :

root@dsitestipcop:/ # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ipac~o all -- anywhere anywhere
BADTCP all -- anywhere anywhere
tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5
CUSTOMINPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT !icmp -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere
DHCPBLUEINPUT all -- anywhere anywhere
IPSECRED all -- anywhere anywhere
IPSECBLUE all -- anywhere anywhere
WIRELESSINPUT all -- anywhere anywhere
REDINPUT all -- anywhere anywhere
XTACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `INPUT '

Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere
WIRELESSFORWARD all -- anywhere anywhere
REDFORWARD all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ipac~i all -- anywhere anywhere

Chain BADTCP (2 references)
target prot opt source destination
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN
PSCAN tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
NEWNOTSYN tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW

Chain CUSTOMFORWARD (1 references)
target prot opt source destination

Chain CUSTOMINPUT (1 references)
target prot opt source destination

Chain DHCPBLUEINPUT (1 references)
target prot opt source destination

Chain DMZHOLES (0 references)
target prot opt source destination

Chain IPSECBLUE (1 references)
target prot opt source destination

Chain IPSECRED (1 references)
target prot opt source destination

Chain LOG_DROP (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning
DROP all -- anywhere anywhere

Chain LOG_REJECT (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain NEWNOTSYN (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `NEW not SYN? '
DROP all -- anywhere anywhere

Chain PORTFWACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere linux-adrian.kertel.com tcp dpt:http
ACCEPT udp -- anywhere linux-adrian.kertel.com udp dpt:http

Chain PSCAN (5 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? '
LOG udp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? '
LOG icmp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? '
LOG all -f anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? '
DROP all -- anywhere anywhere

Chain REDFORWARD (1 references)
target prot opt source destination

Chain REDINPUT (1 references)
target prot opt source destination

Chain WIRELESSFORWARD (1 references)
target prot opt source destination

Chain WIRELESSINPUT (1 references)
target prot opt source destination

Chain XTACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.0.1 tcp dpt:ident

Chain ipac~fi (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~fo (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~i (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~o (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere

[Yvan]

Bonsoir,

C'est con mais des fois c'est un petit truc auquelle on a pas pensé: est ce que ton serveur web à une table de routage qui lui permet de contacté des postes sur internet (ça peut aider pour repondre au requete web).

A + Yvan

[dtcpowa]

J'ai cru au début que ça venait de ma redirection par no-ip mais même pas. J'accede sur le serveur avec son ip locale (en interne) mais impossible d'acceder au serveur web. Je fais le test firewall avec l'utilitaire d'ixus.net il trouve bien le port 80 ouvert. Il est forwardé vers la bonne machine, aucun pb de conf de firewall ou de conf d'apache, g même vérifié les CHMoD au K ou. Impossible de trouver la réponse !!!