creation de 2 interfaces GREEN

[marcovino]

Bonjour,

j'ai 2 cartes reseau sur mon ipcop et je voudrais les configurer tous les deux en green
comment faire?
j'ai lance setup de ipcop mais tout ce que je pouvais faire c'est du GREEN+ORANGE, alors que moi je voudrais du "GREEN+GREEN"


merci

[erreipnaej]

Bonjour,

J'ai le même besoin alors avec la 1.4.2 j'utilise la config Red - Green - Blue.
C'est le pus proche.
L'événtuel probléme est que la communication entre Green et blue ne marche que dans le sens Green vers Blue.
Pour aller du Blue vers le Green, il faut configurer les accés sur la page Firewall / Accés à la DMZ.
Il me semble avoir vu des posts pour transformer le Blue en Green.
@+

[aiglon01]

moi aussi j'ai le meme probleme j'aimerai avec une red et deux green, et que les deux reseau comunique entre eux, avec un meme serveur dhcp qui deserve les deux carte reseau green ..
j'ai chercher mais pas su trouvé.. alors j'utilise une orange a la place.. avec des ip fixe sur l'orange..

[E-Mat]

La distribution IPCOP est exclusivement créé à la base pour n'avoir qu'une seule interface locale sécurisée (GREEN).

La solution alternative serait de créer une DMZ (interface ORANGE) ou BLUE (si vous avez la 1.4.x). Pour les pb de communication entre internfaces il suffit d'éditer le fichier /etc/rc.d/rc.firewall qui contient toutes les règles IPTABLES du firewall et d'ajouter une ligne du genre :

/sbin/iptables -I FORWARD -i $ORANGE -o $GREEN -j ACCEPT

ou bien

/sbin/iptables -I FORWARD -i $BLUE -o $GREEN -j ACCEPT

C'est règles autorisent l'interface $ORANGE (ou $BLUE) à emettre tout types de paquet quelque soit le port vers l'interface $GREEN. Donc sur l'interface WEB la section ACCES à la DMZ ou ACCES au BLUE n'a plus d'intérets.

[marcovino]

salut,

merci pour les coups de pouce
j'ai essayé la ligne

Code: Tout sélectionner

/sbin/iptables -I FORWARD -i $ORANGE -o $GREEN -j ACCEPT

que j'ai rajouté dans /etc/rc.d/rc.firewall
dans la rubrique : iptables_init() { "ici" }


mais je n'arrive meme pas a faire du ping du green vers orange ni du orange vers le green

quelqu'un aurait une solution?
je pense que c'est tjs une question de iptables...

[marcovino]

j'ai oublié de dire que j'ai relancé squid a la suite de la modif avec:

Code: Tout sélectionner

restartsquid

[braouazou]

Le ping de vert vers organe devrait fonctionner par défaut, tu as donc un problème dans ta configuration initiale.

Par ailleurs, les règles iptables citées ne fonctionneront que si tu définis $ORANGE et $GREEN (soit à la main, soit en reprenant les paramèters globaux, regarde dans les autres fichiers de conf, je n'ai pas de machines sous IPCop sous la main).

Enfin, ces règles ne suffiront pas à faire de orange un second green, puisque la plupart des services sont prévus pour n'écouter que sur l'interface green (notamment le serveur dhcp, squid etc...). Il te faudra donc mettre un peu les mains dans le cambouilli si tu veux parvenir à tes fins

@++

[micjack]

Salut,

Entre le green et bleue, effectivement la methode logique semble etre comme cité plus haut...

iptables -I FORWARD -i $BLUE -o $GREEN -j ACCEPT mais il manque l'autre sens

iptables -A FORWARD -i $BLEUE -o $GREEN -j ACCEPT
iptables -A FORWARD -i $GREEN -o $BLEUE -j ACCEPT

Mais par contre faire gaffe aux scripts par defauts d'IPCop, pouvant annuler les modifs à la main...

[marcovino]

bonsoir,


ca marche merci

alors j'ai configure les deux cartes reseau en GREEN + BLUE ce qui est le plus proche, voir pareil que du GREEN + GREEN, sauf que le 2eme GREEN n est pas un reseau sans fil,
ensuite j'ai configure 2 IP sous reseaux differents pour le GREEN et le BLUE,
ensuite j'ai tape les deux lignes de code suivantes, eth0 etant le GREEN , eth1 le BLUE:

Code: Tout sélectionner

iptables -I FORWARD -i eth0 -o eth1 -j ACCEPT

Code: Tout sélectionner

iptables -I FORWARD -i eth1 -o eth0 -j ACCEPT

et j'ai pu enfin communiquer entre les deux interfaces comme si j'avais deux GREEN

merci pour tous vos conseils

[antago]

Bonjour,
ces deux regles iptables il faut les mettre a quel niveau ds le rc.firewall?
Merci

[Mhans]

il est tous a fait possible de pouvoir utilise l'interface bleu comme une interface vert

dans ton fichier rc.firewall.local, il faut rajouter les lignes suivantes :

Code: Tout sélectionner

/sbin/iptables -A WIRELESSINPUT -s SOUS_RESEAU/255.255.255.0 -i BLEU_DEV -o ! GREEN_DEV -j ACCEPT
/sbin/iptables -A WIRELESSFORWARD -s SOUS_RESEAU/255.255.255.0 -i BLEU_DEV -o ! GREEN_DEV -j ACCEPT
/sbin/iptables -A WIRELESSFORWARD -s SOUS_RESEAU/255.255.255.0 -i BLEU_DEV -j DMZHOLES


tu remplace SOUS_RESEAU par ton reseau bleu
BLEU_DEV par l'interface bleu
GREEN_DEV par l'interface green qui est eth0 en general

puis dans rc.network

remplace

Code: Tout sélectionner

if [ "$BLUE_DEV" != "" ]; then
        echo "Setting up wireless firewall rules"
       /usr/local/bin/restartwireless
fi


par

Code: Tout sélectionner

if [ "$BLUE_DEV" != "" ]; then
        echo "Setting up wireless firewall rules"
#       /usr/local/bin/restartwireless
fi


[Smeug]

bonsoir,


ca marche merci

alors j'ai configure les deux cartes reseau en GREEN + BLUE ce qui est le plus proche, voir pareil que du GREEN + GREEN, sauf que le 2eme GREEN n est pas un reseau sans fil,
ensuite j'ai configure 2 IP sous reseaux differents pour le GREEN et le BLUE,
ensuite j'ai tape les deux lignes de code suivantes, eth0 etant le GREEN , eth1 le BLUE:

Code: Tout sélectionner

iptables -I FORWARD -i eth0 -o eth1 -j ACCEPT

Code: Tout sélectionner

iptables -I FORWARD -i eth1 -o eth0 -j ACCEPT

et j'ai pu enfin communiquer entre les deux interfaces comme si j'avais deux GREEN

merci pour tous vos conseils

Bonjour,
j'ai bien mis ces deux lignes de commandes mais :
çà marche de green vers blue mais pas de blue vers green
Si vous pouviez m'aider merci

[micjack]

Salut,

Je ne pense pas que l'insersion par -I de la regle soit correct... Je dirrait plutot -A pour ajouter, comme decrit dans mon post plus haut...

D'ou peut etre la raison, que cela marchote (regles pas à la bonne place)

[wann]

Moi, j'ai fait ainsi :

- modification du fichier /etc/rc.d/rc.network :

edit : Correction de l'ordre des commandes !

Code: Tout sélectionner

        #/usr/local/bin/restartwireless

        /sbin/iptables -F WIRELESSINPUT > /dev/null 2> /dev/null
        /sbin/iptables -F WIRELESSFORWARD > /dev/null 2> /dev/null

        /sbin/iptables -A WIRELESSINPUT -i $BLUE_DEV -j ACCEPT
        /sbin/iptables -A WIRELESSFORWARD -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
        /sbin/iptables -A WIRELESSFORWARD -i $BLUE_DEV -j DMZHOLES

       /sbin/iptables -A WIRELESSINPUT -i $BLUE_DEV -j LOG_DROP
       /sbin/iptables -A WIRELESSFORWARD -i $BLUE_DEV -j LOG_DROP


- modification des accès à la DMZ pour faire communiquer BLUE avec GREEN.

edit : par défaut, BLUE ne communique pas avec GREEN dans cette configuration, il faut ouvrir port par port via l'interface web.

C'est tout !

[micjack]

Salut, Je n'utilise pas IPCop, mais aime savoir et comprendre.. (J'utilise une RedHat)

Il me semble qu'il y'a que les trois ligne du bas qui sont concernées, non ?
/sbin/iptables -A WIRELESSINPUT -i $BLUE_DEV -j ACCEPT
Le INPUT sur Bleu est deja par defaut , non? puisque Bleu est sensé avoir acces au Net et/ou en DMZ.

/sbin/iptables -A WIRELESSFORWARD -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
Le FORWARD entre les deux interfaces est la meme que la regle plus haut, non?

Et le FORWRD dans l'autre sens n'est pas necessaire ? -o $GREEN_DEV -i $BLUE_DEV -j ACCEPT
L'acces Green vers Bleu est par defaut sur IPCop ?

/sbin/iptables -A WIRELESSFORWARD -i eth2 -j DMZHOLES
La par contre, j'ai pas bien compris pour la DMZ, puisque il faut simplement faire communiquer Green et Bleu.

Attention, je ne remet rien en question Wann, mais je tente de comprendre les vrais lignes necessaires Il semblait que seul le Forward etait suffisant.