creation de 2 interfaces GREEN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

creation de 2 interfaces GREEN

Messagepar marcovino » 31 Déc 2004 14:24

Bonjour,

j'ai 2 cartes reseau sur mon ipcop et je voudrais les configurer tous les deux en green
comment faire?
j'ai lance setup de ipcop mais tout ce que je pouvais faire c'est du GREEN+ORANGE, alors que moi je voudrais du "GREEN+GREEN"


merci
Avatar de l’utilisateur
marcovino
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 14 Oct 2004 15:35

Messagepar erreipnaej » 01 Jan 2005 12:35

Bonjour,

J'ai le même besoin alors avec la 1.4.2 j'utilise la config Red - Green - Blue.
C'est le pus proche.
L'événtuel probléme est que la communication entre Green et blue ne marche que dans le sens Green vers Blue.
Pour aller du Blue vers le Green, il faut configurer les accés sur la page Firewall / Accés à la DMZ.
Il me semble avoir vu des posts pour transformer le Blue en Green.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar aiglon01 » 01 Jan 2005 22:52

moi aussi j'ai le meme probleme j'aimerai avec une red et deux green, et que les deux reseau comunique entre eux, avec un meme serveur dhcp qui deserve les deux carte reseau green ..
j'ai chercher mais pas su trouvé.. alors j'utilise une orange a la place.. avec des ip fixe sur l'orange..
aiglon01
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 22 Nov 2004 20:31

Messagepar E-Mat » 01 Jan 2005 23:16

La distribution IPCOP est exclusivement créé à la base pour n'avoir qu'une seule interface locale sécurisée (GREEN).

La solution alternative serait de créer une DMZ (interface ORANGE) ou BLUE (si vous avez la 1.4.x). Pour les pb de communication entre internfaces il suffit d'éditer le fichier /etc/rc.d/rc.firewall qui contient toutes les règles IPTABLES du firewall et d'ajouter une ligne du genre :

/sbin/iptables -I FORWARD -i $ORANGE -o $GREEN -j ACCEPT

ou bien

/sbin/iptables -I FORWARD -i $BLUE -o $GREEN -j ACCEPT

C'est règles autorisent l'interface $ORANGE (ou $BLUE) à emettre tout types de paquet quelque soit le port vers l'interface $GREEN. Donc sur l'interface WEB la section ACCES à la DMZ ou ACCES au BLUE n'a plus d'intérets.
Avatar de l’utilisateur
E-Mat
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 30 Oct 2003 01:00
Localisation: France - Agen

Messagepar marcovino » 02 Jan 2005 13:45

salut,

merci pour les coups de pouce
j'ai essayé la ligne

Code: Tout sélectionner
/sbin/iptables -I FORWARD -i $ORANGE -o $GREEN -j ACCEPT


que j'ai rajouté dans /etc/rc.d/rc.firewall
dans la rubrique : iptables_init() { "ici" }


mais je n'arrive meme pas a faire du ping du green vers orange ni du orange vers le green

quelqu'un aurait une solution?
je pense que c'est tjs une question de iptables...
Avatar de l’utilisateur
marcovino
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 14 Oct 2004 15:35

Messagepar marcovino » 02 Jan 2005 13:52

j'ai oublié de dire que j'ai relancé squid a la suite de la modif avec:

Code: Tout sélectionner
restartsquid
Avatar de l’utilisateur
marcovino
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 14 Oct 2004 15:35

Messagepar braouazou » 02 Jan 2005 15:20

Le ping de vert vers organe devrait fonctionner par défaut, tu as donc un problème dans ta configuration initiale.

Par ailleurs, les règles iptables citées ne fonctionneront que si tu définis $ORANGE et $GREEN (soit à la main, soit en reprenant les paramèters globaux, regarde dans les autres fichiers de conf, je n'ai pas de machines sous IPCop sous la main).

Enfin, ces règles ne suffiront pas à faire de orange un second green, puisque la plupart des services sont prévus pour n'écouter que sur l'interface green (notamment le serveur dhcp, squid etc...). Il te faudra donc mettre un peu les mains dans le cambouilli si tu veux parvenir à tes fins :-)

@++
echo ?16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq?|dc
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar micjack » 03 Jan 2005 02:29

Salut,

Entre le green et bleue, effectivement la methode logique semble etre comme cité plus haut...

iptables -I FORWARD -i $BLUE -o $GREEN -j ACCEPT mais il manque l'autre sens

iptables -A FORWARD -i $BLEUE -o $GREEN -j ACCEPT
iptables -A FORWARD -i $GREEN -o $BLEUE -j ACCEPT

Mais par contre faire gaffe aux scripts par defauts d'IPCop, pouvant annuler les modifs à la main...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar marcovino » 03 Jan 2005 23:35

bonsoir,


ca marche merci

alors j'ai configure les deux cartes reseau en GREEN + BLUE ce qui est le plus proche, voir pareil que du GREEN + GREEN, sauf que le 2eme GREEN n est pas un reseau sans fil,
ensuite j'ai configure 2 IP sous reseaux differents pour le GREEN et le BLUE,
ensuite j'ai tape les deux lignes de code suivantes, eth0 etant le GREEN , eth1 le BLUE:

Code: Tout sélectionner
iptables -I FORWARD -i eth0 -o eth1 -j ACCEPT

Code: Tout sélectionner
iptables -I FORWARD -i eth1 -o eth0 -j ACCEPT


et j'ai pu enfin communiquer entre les deux interfaces comme si j'avais deux GREEN :D

merci pour tous vos conseils :D
Avatar de l’utilisateur
marcovino
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 14 Oct 2004 15:35

Messagepar antago » 10 Jan 2005 16:54

Bonjour,
ces deux regles iptables il faut les mettre a quel niveau ds le rc.firewall?
Merci
J'aime pas les brocolis.
PIII 667Mhz 256 Mo 2.1Go
1.4
Avatar de l’utilisateur
antago
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 29 Sep 2003 00:00
Localisation: 51

Messagepar Mhans » 10 Jan 2005 18:42

il est tous a fait possible de pouvoir utilise l'interface bleu comme une interface vert

dans ton fichier rc.firewall.local, il faut rajouter les lignes suivantes :

Code: Tout sélectionner
/sbin/iptables -A WIRELESSINPUT -s SOUS_RESEAU/255.255.255.0 -i BLEU_DEV -o ! GREEN_DEV -j ACCEPT
/sbin/iptables -A WIRELESSFORWARD -s SOUS_RESEAU/255.255.255.0 -i BLEU_DEV -o ! GREEN_DEV -j ACCEPT
/sbin/iptables -A WIRELESSFORWARD -s SOUS_RESEAU/255.255.255.0 -i BLEU_DEV -j DMZHOLES


tu remplace SOUS_RESEAU par ton reseau bleu
BLEU_DEV par l'interface bleu
GREEN_DEV par l'interface green qui est eth0 en general

puis dans rc.network

remplace
Code: Tout sélectionner
if [ "$BLUE_DEV" != "" ]; then
        echo "Setting up wireless firewall rules"
       /usr/local/bin/restartwireless
fi

par
Code: Tout sélectionner
if [ "$BLUE_DEV" != "" ]; then
        echo "Setting up wireless firewall rules"
#       /usr/local/bin/restartwireless
fi
Dernière édition par Mhans le 11 Jan 2005 12:26, édité 2 fois au total.
Avatar de l’utilisateur
Mhans
Premier-Maître
Premier-Maître
 
Messages: 60
Inscrit le: 30 Jan 2004 01:00
Localisation: Orleans

Messagepar Smeug » 10 Jan 2005 19:40

marcovino a écrit:bonsoir,


ca marche merci

alors j'ai configure les deux cartes reseau en GREEN + BLUE ce qui est le plus proche, voir pareil que du GREEN + GREEN, sauf que le 2eme GREEN n est pas un reseau sans fil,
ensuite j'ai configure 2 IP sous reseaux differents pour le GREEN et le BLUE,
ensuite j'ai tape les deux lignes de code suivantes, eth0 etant le GREEN , eth1 le BLUE:

Code: Tout sélectionner
iptables -I FORWARD -i eth0 -o eth1 -j ACCEPT

Code: Tout sélectionner
iptables -I FORWARD -i eth1 -o eth0 -j ACCEPT


et j'ai pu enfin communiquer entre les deux interfaces comme si j'avais deux GREEN :D

merci pour tous vos conseils :D


Bonjour,
j'ai bien mis ces deux lignes de commandes mais :
çà marche de green vers blue mais pas de blue vers green
Si vous pouviez m'aider merci
Avatar de l’utilisateur
Smeug
Matelot
Matelot
 
Messages: 6
Inscrit le: 25 Jan 2004 01:00

Messagepar micjack » 10 Jan 2005 20:10

Salut,

Je ne pense pas que l'insersion par -I de la regle soit correct... Je dirrait plutot -A pour ajouter, comme decrit dans mon post plus haut...

D'ou peut etre la raison, que cela marchote (regles pas à la bonne place)
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar wann » 05 Août 2005 13:16

Moi, j'ai fait ainsi :

- modification du fichier /etc/rc.d/rc.network :

edit : Correction de l'ordre des commandes !

Code: Tout sélectionner
        #/usr/local/bin/restartwireless

        /sbin/iptables -F WIRELESSINPUT > /dev/null 2> /dev/null
        /sbin/iptables -F WIRELESSFORWARD > /dev/null 2> /dev/null

        /sbin/iptables -A WIRELESSINPUT -i $BLUE_DEV -j ACCEPT
        /sbin/iptables -A WIRELESSFORWARD -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
        /sbin/iptables -A WIRELESSFORWARD -i $BLUE_DEV -j DMZHOLES

       /sbin/iptables -A WIRELESSINPUT -i $BLUE_DEV -j LOG_DROP
       /sbin/iptables -A WIRELESSFORWARD -i $BLUE_DEV -j LOG_DROP


- modification des accès à la DMZ pour faire communiquer BLUE avec GREEN.

edit : par défaut, BLUE ne communique pas avec GREEN dans cette configuration, il faut ouvrir port par port via l'interface web.

C'est tout !
Dernière édition par wann le 11 Août 2005 13:09, édité 2 fois au total.
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar micjack » 05 Août 2005 14:26

Salut, Je n'utilise pas IPCop, mais aime savoir et comprendre.. (J'utilise une RedHat)

Il me semble qu'il y'a que les trois ligne du bas qui sont concernées, non ?
/sbin/iptables -A WIRELESSINPUT -i $BLUE_DEV -j ACCEPT
Le INPUT sur Bleu est deja par defaut , non? puisque Bleu est sensé avoir acces au Net et/ou en DMZ.

/sbin/iptables -A WIRELESSFORWARD -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
Le FORWARD entre les deux interfaces est la meme que la regle plus haut, non?

Et le FORWRD dans l'autre sens n'est pas necessaire ? -o $GREEN_DEV -i $BLUE_DEV -j ACCEPT
L'acces Green vers Bleu est par defaut sur IPCop ?

/sbin/iptables -A WIRELESSFORWARD -i eth2 -j DMZHOLES
La par contre, j'ai pas bien compris pour la DMZ, puisque il faut simplement faire communiquer Green et Bleu.

Attention, je ne remet rien en question Wann, mais je tente de comprendre les vrais lignes necessaires :wink: Il semblait que seul le Forward etait suffisant.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité