Prob ou pas prob ?? (smoothwall+ clarckconnect+DMZ)

Forum de discution sur la distribution smoothwall de linux, dédiée à la mise en place de passerelles sécurisées.

Modérateur: modos Ixus

Messagepar extremistique » 22 Fév 2003 22:03

tout dabord salut a tous voia j ai updater mon smothwall en version 1.0 <BR> <BR>ma config <BR> <BR>smoothwall <BR>4.86 16mo de ram 340 mo de hdd <BR>interface red orange green <BR>carte rezo <BR>3com 3c503 isa <BR>et 2 3com 3c509 tpo isa <BR> <BR>clarckconnect <BR>celeron 400 196mo de ram 4.3 gigas de hdd <BR>carte rezo realtek 10/100 <BR> <BR>la connection au net fonctionne a merveille sur l interface green j accede au panno d admin du smooth <BR> <BR>j ai monter smooth dans le but de creer un site web donc j ai mis une distrib clarckconnect deriere sur l interface orange (dmz) j arrive a acceder a webmin via mon local ainsi k acceder a la cosole d administration de clarck connect en local <BR>jusque la tout va bien <BR> <BR>passont aux choses plus complexe <BR> <BR>si j ouvre le port 80 de smoothwall au services externes et que je redirige ce port sur le port 80 de mon serveur situer dans la dmz les personnes voulant consulter le site web on acces sans prob via le net (redirection) <BR> <BR>Par contre si j essayes de me connecter au site web via la redirection web depuis mon local j'obtient une jolie page impossible d'affciher la page <BR> <BR>de plus impossible de faire des mises a jours depuis webmin <BR> <BR>le serveur utilise comme passerelle l ip de la carte rezo de l interface orange de smothhwall ( je pense que c la config normale a utiliser ) <BR>mais avec cette config la machine dans la dmz ne peux pas surfer sur le web <BR> <BR>Par contre si j utilise l'adresse ip de la carte rezo green comme passerelle pour le serv il peux surfer sur le web sans prob <BR> <BR> <BR>NORMAL OU PAS!!!!! <BR> <BR>smoothwall est il config de facon ne pas laisser lez machine situées dans la dmz surfer sur le web ..... <BR> <BR> <BR> <BR>je reste a l ecoute toute la soirée je viendrai voir et lire vos reposes <BR>merci d'avance a tous <BR> <BR> <BR> <BR> <BR><BR><BR><font size=-2></font>
k6 500 64mo de sdram hdd4.3go ipcop 1.4.10
bi p3 600EB 512mo pc133 hdd36.4go U160 SME 6.0.1-1
Avatar de l’utilisateur
extremistique
Second Maître
Second Maître
 
Messages: 40
Inscrit le: 02 Avr 2002 00:00

Messagepar Breizh-Tux » 23 Fév 2003 10:38

Le principe des zones est le suivant : <BR>Zone verte(lan interne) qui doit pouvoir accéder à internet, mais qui ne doit jamais être contactable de l'extérieur <IMG SRC="images/smiles/icon_biggrin.gif"> . <BR>Zone Rouge c'est interface rézo du firewall connectée à internet(le danger vient de la[zone rouge=danger] <IMG SRC="images/smiles/icon_cussing.gif"> ) <BR>Zone DMZ(orange) est réservé aux serveurs cette zone doit etre protégée de l'extérieur tout en étant joignable d'internet. En aucun cas cette zone n'est susceptible d'aller surfer sur le net. En théorie afin de garder une sécurité élevée cette zone ne doit pas contenir un servuer de base de donnée utilisé par la zone verte du lan. <BR>Voila c'est a peu pres toutes mes connaissances a ce sujet . <BR>
In God we Trust -- all others must submit an X.509 certificate.
(Charles Forsythe)
Breizh-Tux
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 23 Fév 2003 01:00
Localisation: BZH , Degemer Mad

Messagepar antolien » 24 Fév 2003 01:31

<BR> <BR>Allons-y petit à petit. <BR> <BR>1: <BR>"Par contre si j essayes de me connecter au site web via la redirection web depuis mon local j'obtient une jolie page impossible d'affciher la page" <BR> <BR>c'est normal, la zone orange bloque ce genre de requettes. en effet la zone orange est quelque peu isolée de ton rézo green. <BR> <BR>2: <BR>"le serveur utilise comme passerelle l ip de la carte rezo de l interface orange de smothhwall ( je pense que c la config normale a utiliser ) <BR>mais avec cette config la machine dans la dmz ne peux pas surfer sur le web" <BR> <BR>Ce problème viens sûrement des DNS que tu as peut être mis avec l'@ip du orange. <BR> <BR>3: <BR>"Par contre si j utilise l'adresse ip de la carte rezo green comme passerelle pour le serv il peux surfer sur le web sans prob " <BR> <BR>Sûrement pas! <BR>impossible que tu puisse surfer avec comme addresse de passerelle celle du vert (un routeur ne peux pas connaître plus d'un saut) <BR>Ici encore il doit sagir du DNS, oui, si tu mets l'addresse du dns du vert ça marche (encore sur smooth ?). sinon, la meilleur chose à faire c'est d'avoir les @ des DNS de ton FAI.<BR><BR><font size=-2></font>
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar extremistique » 24 Fév 2003 04:14

ok jai regler le prob pour l acces web du serveur <BR> <BR>ce que j ai fait <BR> <BR>1 ) <BR>j ai editer le fichier "etc/rc.d/hosts" de smoothwall en lui specifiant les ips et les noms des machines de mon reso <BR> <BR>192.168.1.1 smoothwall green <BR>192.168.2.2 (meme nom que votre dns web ) pour le serveur de la dmz <BR> <BR>de cette maniere on peu acceder au serveur situer dans la dmz via sa redirection web ( sinon c est impossible a cause des regles antispoofing de smootwall) <BR> <BR>2) <BR>j'utilise bien la passerelle carte orange pour mon serveur web de la dmz <BR> <BR>3) <BR> les dns utilisée par le serveur <BR>primaire <BR>ip de la carte rezo orange <BR>secondaire <BR>dns de wanadoo (193.252.19.3 ou 193.252.19.4) <BR> <BR>avec ces modifs vous pourrez surfer avec la machine située dans la dmz..... <BR> <BR> <BR> <BR>
k6 500 64mo de sdram hdd4.3go ipcop 1.4.10
bi p3 600EB 512mo pc133 hdd36.4go U160 SME 6.0.1-1
Avatar de l’utilisateur
extremistique
Second Maître
Second Maître
 
Messages: 40
Inscrit le: 02 Avr 2002 00:00

Messagepar Breizh-Tux » 24 Fév 2003 11:05

Par Défault il me semble que la DMZ ne puisse pas surfer sur le net sinon tu crée un trou de sécurité dans le dispositif de smoothwall. <BR>Si je peux te donner un conseil, le but de l'utilisation de smoothwall est tres probablement la sécurité, hors si pour x ou z raisons tu viens créer un trou dans cette zone l'utilisation de smoothwall devient obsolète. Si tu n'as réellement aucun besoin de surfer sur le net de la DMZ remet la configuration par défaut de smoothwall. <BR>D'ailleurs, a premiere vu je ne vois pas l'intéret de surfer sur le net depuis la dmz alors que tu peux le faire de ton Lan ..?
In God we Trust -- all others must submit an X.509 certificate.
(Charles Forsythe)
Breizh-Tux
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 23 Fév 2003 01:00
Localisation: BZH , Degemer Mad

Messagepar funkadeclic » 24 Fév 2003 11:14

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-02-24 10:05, Breizh-Tux a écrit: <BR> <BR>D'ailleurs, a premiere vu je ne vois pas l'intéret de surfer sur le net depuis la dmz alors que tu peux le faire de ton Lan ..? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je pense que si tu met des postes dans ta DMZ avec accès web, tu peut le faire pour utiliser ces postes en consultation internet, et ainsi bloquer leur accès aux partages réseaux.Mais c clair qu'il doit y avoir plus simple.
Les fins de mois, c'est dur pour les étudiants, surtout les 30 derniers jours
Avatar de l’utilisateur
funkadeclic
Aspirant
Aspirant
 
Messages: 102
Inscrit le: 07 Fév 2003 01:00
Localisation: Nice/Sophia Antipolis

Messagepar funkadeclic » 24 Fév 2003 11:20

Avec blocage du port TCP 80 pour l'interface orange je crois que ça marche... <IMG SRC="images/smiles/icon_smile.gif">
Les fins de mois, c'est dur pour les étudiants, surtout les 30 derniers jours
Avatar de l’utilisateur
funkadeclic
Aspirant
Aspirant
 
Messages: 102
Inscrit le: 07 Fév 2003 01:00
Localisation: Nice/Sophia Antipolis

Messagepar grosbedos » 24 Fév 2003 12:20

chai po coriger moi si je me trompe (oh oui fai moi mal). <BR> <BR>toute connection inité depui le green est accepter ver orange et red, et dans ce cas tou deux ont le droit de repondre..c ce ke g cru remarqué au tout cas. <BR> <BR>toute connection initié depuis orange peu aller sur red.pas question sur green. <BR> <BR>toute connection depuis red est bloqué par defau sauf port > 1024. <BR> <BR>et enfin le dmzpinholes sert a donner acces a une machine de la zone orange a un serveur de la zone green. <BR> <BR>c ce que g cru comprendre..mais y a tellemen de contradiction sur le forum.... <BR>que j'emerai bien etre sur une foi pour toute!
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar funkadeclic » 24 Fév 2003 13:02

OUi moi aussi je suis dans ton cas, et en fait, d'après ce que g cru comprendre, la différence entre la green et la orange serait <BR> <BR>accès du red vers green impossible <BR>accès du red vers orange autorisé... <BR> <BR>accès du green vers red autorisé <BR>accès du green vers orange autorisé <BR> <BR>accès du orange vers red autorisé <BR>accès du orange vers green <IMG SRC="images/smiles/icon_confused.gif"> je crois que non, mais pas sur à 100% <BR> <BR>Confirmations?
Les fins de mois, c'est dur pour les étudiants, surtout les 30 derniers jours
Avatar de l’utilisateur
funkadeclic
Aspirant
Aspirant
 
Messages: 102
Inscrit le: 07 Fév 2003 01:00
Localisation: Nice/Sophia Antipolis

Messagepar grosbedos » 24 Fév 2003 13:44

acce red ver orange est bloké, ca suit sur...sauf port > 1024 et sauf connection etablie..
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar funkadeclic » 24 Fév 2003 15:08

à nous deux, on onvance!lol <IMG SRC="images/smiles/icon_lol.gif">
Les fins de mois, c'est dur pour les étudiants, surtout les 30 derniers jours
Avatar de l’utilisateur
funkadeclic
Aspirant
Aspirant
 
Messages: 102
Inscrit le: 07 Fév 2003 01:00
Localisation: Nice/Sophia Antipolis


Retour vers Smoothwall

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité