Bonjour,
Tout d'abord j'ai essayé de faire une recherche mais le moteur de recherche du site plante.....
Donc voila ma question :
Je veux que les PCs de mon LAN est acces au @IP publiques du RED de mon Ipcop (redirigees vers des adresses locales) je sais ça semble farfelu mais bon j'en ai besoin.....
Je pense que la solution est de supprimer l'antispoofing mais comment faire pour supprimer l'antispoofing uniquement pour ma classe 192.168.xxx.www
merci d'avance à tous
Acces aux @ip publiques depuis LAN
Modérateur: modos Ixus
12 messages
• Page 1 sur 1
Acces aux @ip publiques depuis LAN
par phaby » 28 Juin 2004 18:08
Dernière édition par phaby le 20 Juil 2004 09:35, édité 1 fois au total.
-
phaby - Lieutenant de vaisseau
- Messages: 188
- Inscrit le: 04 Nov 2003 01:00
- Localisation: Pas tres loin
par Fesch » 28 Juin 2004 21:04
Que t'es de pas très loin se fait remarquer dans tes phrases!!! En effet j'ai du mal à saisir le sens de ce que tu veux dire.
Est-ce que tu veux que tes PC aient accès à Internet ou est-ce que tu veux qu'internet ait accès à tes PC (ce qui est donc l'invers)???
Est-ce que tu veux que tes PC aient accès à Internet ou est-ce que tu veux qu'internet ait accès à tes PC (ce qui est donc l'invers)???
Pourquoi lis-tu ceci???
-
Fesch - Amiral
- Messages: 2505
- Inscrit le: 11 Sep 2003 00:00
- Localisation: Luxembourg
par jdh » 28 Juin 2004 23:10
Le spoofing est le procédé qui consiste a émettre un packet IP comportant une mauvaise adresse ip (ip source). L'intéret est d'éviter d'être identifié (comme ip source) et néanmoins attaquer la cible.
L'anti-spoofing est un procédé qui permet (essaie) de résister à ce type de tentative.
Cela n'a donc aucun rapport avec ce que tu veux !
Ton problème est plutot un pb de routage : IPCop permet-il de transférer un packet de Green vers une adresse de Red redirigé vers une machine de Orange (ou Green : bad !).
De façon naturelle à partir de Green tu peux arriver à Orange ou à Red mais pas revenir à Green ou à Orange via une adresse Red.
En fait, le schéma normal est que les adresses Red (redirigées vers Orange) devrait être accessible d'Internet donc via un nom de domaine.
Alors si, en interne, on utilise une définition de domaine différente de celle visible d'Internet, on peut arriver au résultat voulu.
Cela s'appelle du "DNS split".
L'anti-spoofing est un procédé qui permet (essaie) de résister à ce type de tentative.
Cela n'a donc aucun rapport avec ce que tu veux !
Ton problème est plutot un pb de routage : IPCop permet-il de transférer un packet de Green vers une adresse de Red redirigé vers une machine de Orange (ou Green : bad !).
De façon naturelle à partir de Green tu peux arriver à Orange ou à Red mais pas revenir à Green ou à Orange via une adresse Red.
En fait, le schéma normal est que les adresses Red (redirigées vers Orange) devrait être accessible d'Internet donc via un nom de domaine.
Alors si, en interne, on utilise une définition de domaine différente de celle visible d'Internet, on peut arriver au résultat voulu.
Cela s'appelle du "DNS split".
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par antolien » 29 Juin 2004 08:00
Bonjour,
Si le split dns ne va pas, tu peux faire deux règles iptables qui feront le NAT à partir du lan.
#règle qui nat l'ip destination vers l'ip locale en passant par l'interface lan
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 195.140.140.28 -i eth0 -j DNAT --to-destination 192.168.1.10:80
#règle qui autorise le paquet à être forwardé.
iptables -I FORWARD -i eth0 -o eth0 -s 192.168.1.2 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
eth0 = interface lan
195.140.140.28= ip publique 'red'
192.168.1.10= ip locale du serveur
192.168.1.2= ip du client
C'est juste une piste, il faudrait plus de précisions sur les ip. Mais j'ai eu besoin de faire ça pour tester les virtual hosts, et ça marche.
Si le split dns ne va pas, tu peux faire deux règles iptables qui feront le NAT à partir du lan.
#règle qui nat l'ip destination vers l'ip locale en passant par l'interface lan
iptables -t nat -A PREROUTING -p tcp --dport 80 -d 195.140.140.28 -i eth0 -j DNAT --to-destination 192.168.1.10:80
#règle qui autorise le paquet à être forwardé.
iptables -I FORWARD -i eth0 -o eth0 -s 192.168.1.2 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
eth0 = interface lan
195.140.140.28= ip publique 'red'
192.168.1.10= ip locale du serveur
192.168.1.2= ip du client
C'est juste une piste, il faudrait plus de précisions sur les ip. Mais j'ai eu besoin de faire ça pour tester les virtual hosts, et ça marche.
-
antolien - Amiral
- Messages: 3134
- Inscrit le: 31 Août 2002 00:00
par phaby » 30 Juin 2004 15:52
je suis plus interessé par la methode d'antolien :
un peu plus de precisions (pour ceux qui ont pas trop compris)
quand j'essaie d'atteindre www.mondomaine1.com ou www.mondomaine3.com (hebergés sur le meme serveur web en green deriere mon IPcop ) et cela ne marche pas (je crois que c'est normal)
@IP publiq : 80.qqq.x4x.bb9 /28
@IP reseau prive : 192.168.www.0 /24
@IP IPCOP local : 192.168.www.254 /24
je voudrais que tous les PC de mon LAN y est acces. est ce faisable ?
je mets ces regles dans rc.local ou rc.firewall ? reboot necessaire ?
un peu plus de precisions (pour ceux qui ont pas trop compris)
quand j'essaie d'atteindre www.mondomaine1.com ou www.mondomaine3.com (hebergés sur le meme serveur web en green deriere mon IPcop ) et cela ne marche pas (je crois que c'est normal)
@IP publiq : 80.qqq.x4x.bb9 /28
@IP reseau prive : 192.168.www.0 /24
@IP IPCOP local : 192.168.www.254 /24
je voudrais que tous les PC de mon LAN y est acces. est ce faisable ?
je mets ces regles dans rc.local ou rc.firewall ? reboot necessaire ?
-
phaby - Lieutenant de vaisseau
- Messages: 188
- Inscrit le: 04 Nov 2003 01:00
- Localisation: Pas tres loin
par phaby » 20 Juil 2004 09:39
je relance mon post, car mon probleme est toujours d'actualité.
"faut que ce soit fait dans la journée" dixit mon boss !!!!!!
afin d'avoir accés à nos sites web (hebergés dans le green
) que dois-je rajouter au fichier rc.local ?
les @IP de mon reseau : (voir post ci-dessus)
merci d'avance
"faut que ce soit fait dans la journée" dixit mon boss !!!!!!
afin d'avoir accés à nos sites web (hebergés dans le green
) que dois-je rajouter au fichier rc.local ?
les @IP de mon reseau : (voir post ci-dessus)
merci d'avance
-
phaby - Lieutenant de vaisseau
- Messages: 188
- Inscrit le: 04 Nov 2003 01:00
- Localisation: Pas tres loin
par tomtom » 20 Juil 2004 10:24
Ca a deja ete dit, le ;ieux c'est de mettre une entree dns correcte sur le green.
si tu veux un bricolage, alors voila :
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -d 80.qqq.x4x.bb -j DNAT --to 192.168.www.150 #150=addresse du serveur 1, eth0=interface green
iptables -t nat -I POSTROUTING -s 192.168.www.0/24 -p tcp --dport 80 -d 192.168.www.150 -j SNAT --to 192.168.www.254
iptables -I FORWARD -p tcp --dport 80 -i eth0 -o eth0 -s 192.168.www.0/24 -d 192.168.www.150 -j ACCEPT
et bien sur, autorisation dans le FORWARD des ESTABLISHED, RELATED ( doit deja etre fait sur ipcop)
Il faut absolument faire le SNAT car sinon le serveur repondra directement au client avec son ip privee et le client va pas etre content et fermer la sesion. En plus de pas marcher, ca va pourrir le reseau et le firewall !
Cette manipulation est un bricolage, pas une solution perrenne ! Il vaut mieux travailler au niveau des dns !
t.
si tu veux un bricolage, alors voila :
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -d 80.qqq.x4x.bb -j DNAT --to 192.168.www.150 #150=addresse du serveur 1, eth0=interface green
iptables -t nat -I POSTROUTING -s 192.168.www.0/24 -p tcp --dport 80 -d 192.168.www.150 -j SNAT --to 192.168.www.254
iptables -I FORWARD -p tcp --dport 80 -i eth0 -o eth0 -s 192.168.www.0/24 -d 192.168.www.150 -j ACCEPT
et bien sur, autorisation dans le FORWARD des ESTABLISHED, RELATED ( doit deja etre fait sur ipcop)
Il faut absolument faire le SNAT car sinon le serveur repondra directement au client avec son ip privee et le client va pas etre content et fermer la sesion. En plus de pas marcher, ca va pourrir le reseau et le firewall !
Cette manipulation est un bricolage, pas une solution perrenne ! Il vaut mieux travailler au niveau des dns !
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par phaby » 20 Juil 2004 10:52
tomtom je te remercie, (meme si je t'ai senti un peu enervé sur le coup)
ça marche nickel !!!! considerant que c'est du bricolage, cela restera une solution temporaire.
Je veux bien essayer de
mais je ne comprends pas trop comment et où ? je n'ai pas de serveur DNS dans mon LAN et utilise ceux de mon FAI....
si tu as le temps de m'en dire plus....
encore MERCI
ça marche nickel !!!! considerant que c'est du bricolage, cela restera une solution temporaire.
Je veux bien essayer de
travailler au niveau des dns !
mais je ne comprends pas trop comment et où ? je n'ai pas de serveur DNS dans mon LAN et utilise ceux de mon FAI....
si tu as le temps de m'en dire plus....
encore MERCI
-
phaby - Lieutenant de vaisseau
- Messages: 188
- Inscrit le: 04 Nov 2003 01:00
- Localisation: Pas tres loin
par tomtom » 20 Juil 2004 11:23
Je ne suis pas du tout enerve, sinon je n'aurais pas repondu !
J'ai ecrit en gros pour ne pas que les gens prennent ca comme une bonne solution !
Pour ce qui est du dns...
tes clients utilisent directement les dns de ton FAI, ou alors ils ont ipcop comme dns ?
Si c'est le FAI, pas grand chose a faire malheureusement a part passer sur tous les pc changer le fichier hosts
Si c'est IPCop, il te suffit de rajouter dans le fichier /etc/hosts les entrees de tes serveurs web avec les ip privees des serveurs, et de recharger le process dnsmasq en faisant un kill -1 dessus !
t.
J'ai ecrit en gros pour ne pas que les gens prennent ca comme une bonne solution !
Pour ce qui est du dns...
tes clients utilisent directement les dns de ton FAI, ou alors ils ont ipcop comme dns ?
Si c'est le FAI, pas grand chose a faire malheureusement a part passer sur tous les pc changer le fichier hosts
Si c'est IPCop, il te suffit de rajouter dans le fichier /etc/hosts les entrees de tes serveurs web avec les ip privees des serveurs, et de recharger le process dnsmasq en faisant un kill -1 dessus !
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par phaby » 21 Juil 2004 11:03
salut,
les clients de mon LAN ont les DNS de mon FAI
(mais je peux les modifier car ils ne sont pas tres nombreux et ça m'interesse de le faire)
cette question est surement bete :
mon Ipcop a comme DNS ceux de mon FAi (normal!!) si je mets sur les clients comme DNS l'@IP d'Ipcop cela va marcher ?? acces au net ??
et dans ce cas je n'ai qu'à renseigner le fichier /etc/hosts..
de plus ça simplifierait l'administration en cas de changement de DNS ou de serveurs
les clients de mon LAN ont les DNS de mon FAI
(mais je peux les modifier car ils ne sont pas tres nombreux et ça m'interesse de le faire)
Si c'est IPCop, il te suffit de rajouter dans le fichier /etc/hosts les entrees de tes serveurs web avec les ip privees des serveurs, et de recharger le process dnsmasq en faisant un kill -1 dessus !
cette question est surement bete :
mon Ipcop a comme DNS ceux de mon FAi (normal!!) si je mets sur les clients comme DNS l'@IP d'Ipcop cela va marcher ?? acces au net ??
et dans ce cas je n'ai qu'à renseigner le fichier /etc/hosts..
de plus ça simplifierait l'administration en cas de changement de DNS ou de serveurs
-
phaby - Lieutenant de vaisseau
- Messages: 188
- Inscrit le: 04 Nov 2003 01:00
- Localisation: Pas tres loin
par yannva » 21 Juil 2004 11:25
Salut,
Tu mets sur ton ipcop les dns de ton fai sur tes clients l'adresse d'ipcop en dns et tout roulera. Il te suffira juste d'ajouter dans le host d'ipcop les adresses de tes serveurs.
En fait IPcop publiera vers tes clients les données reçues des dns de ton fai en incluant son fichier host à ces données.
A +
Yann
Tu mets sur ton ipcop les dns de ton fai sur tes clients l'adresse d'ipcop en dns et tout roulera. Il te suffira juste d'ajouter dans le host d'ipcop les adresses de tes serveurs.
En fait IPcop publiera vers tes clients les données reçues des dns de ton fai en incluant son fichier host à ces données.
A +
Yann
Si tous ceux qui croient avoir raison n'avaient pas tort, la vérité ne serait pas loin. [Pierre Dac]
-
yannva - Capitaine de vaisseau
- Messages: 340
- Inscrit le: 31 Août 2002 00:00
- Localisation: Nancy
12 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité