[Resolu] Ping de RED vers GREEN

[RoB1]

Slt a tous !

Je voudrais autoriser le ping de RED vers GREEN.
Est-ce que cette syntaxe serait correcte ????

iptables -A FORWARD -i $GREEN_DEV -p icmp --icmp-type 0 -j ACCEPT

Si oui ou dois-je la mettre dans le script rc.firewall, car la elle est en place et ca ne marche tjs pa.

De la meme maniere je voudrais ouvrir les ports 137,138,139 de RED vers GREEN.

Merci des eventuelles reponses.
++

[Yoda]

salut,

je pense que tu trouveras ton bonheur sur ce site:

http://ipcop.hn.org/

a+

[micjack]

Salut,

Pas tres prudent de vouloir faire passer les ports Netbios 137,138,139 vers le Green, puis je ne comprend pas l'utilité, sachant que cela concerne le partage de fichiers et d'imprimante

Y'a t'il une raison particuliere ?

[RoB1]

C'est effectivement pour autoriser le partage de fichiers entre RED et GREEN.

Sachant que mon rezo RED n'est pa Internet mais un autre sous-rezo.

Le PB c'est que depuis que j'ai mis en place Ipcop, du coté RED on ne peut plus rien envoyé du coté GREEN ( logique c'est fait un peu pour ca ossi).
Mais j'ai des transfert de données hebdomadaire a faire de l'un a l'autre et la je le
fais avec une clef USB ca me saoul.

Au niv de la securité j'ai un autre firewall a un niv superieur.

je suis proteger du net c bon.

J'espere que c'est claire et si ca ne l'ai pa je detaillerai encore plus.

++

[E-Mat]

Ta solution me semble possible mais uniquement pour un seul PC au niveau de l'interface sécurisé (GREEN). Je m'explique :

Le but d'un firewall est de protéger un réseau. Et le principe même d'un firewall est de faire du NAT ce qui veut dire que tous les PCs de ton réseau local sécurisé (GREEN) sont cachés derrière l'IPCOP sous une seule et unique adresse IP (RED censée être publique, chez toi ce n'est pas le cas mais ça revient au même). Du coup, tes plages de ports TCP/UDP allant de 1 à 65535 ne consernent que l'IP du RED, ce qui veut dire que vu côté réseau publique c'est comme s'il y avait qu'une seule machine et rien d'autre.

Le fait de vouloir autoriser le PING du réseau publique RED vers ton GREEN enlève tout l'intérer d'un passerelle IPCOP, à ce moment là autant l'enlever ça causera moins de soucis...

Si toutefois tu persistes, pas la peine de mettre les mains dans la camboui avec les iptables, l'interface WEB d'IPCOP le fait très bien. Pour cela, vas dans la rubrique FIREWALL et TRANSFERT de PORTS. Là tu établies tes règles de transferts des ports 137,138,139 en TCP et/ou UDP (je sais plus) vers une (et une seule) machine de ton réseau local sécurisé (GREEN).

Il n'y a pas d'autres solutions si ce n'est que retirer ton IPCOP ou bien de mettre une autre distri qui fera office de routeur pur (plus de NAT) comme ça les pc du réseau principal auront un accès complet aux PCs du sous réseau ( un \\@IP-SOUS-RX sous IE suffit pr accéder aux partages depuis les PC du réseau principal). Ou alors si ton SWITCH le permet tu fais un VLAN pour séparer deux réseaux sans Routeurs.

[poudre]

Salut,

Pour moi tu dois déjà supprimer ce qui concerne le NAT si tu es entre deux sous réseaux.
Perso je prendrais le contenu du fichier rc.firewall que je copierai dans rc.local puis ensuite tu enlèves tout ce qui te gène dans les règles pour ne laisser que le strict minimum (en clair tu réécris un script ).

Pascal.

[E-Mat]

En clair tu t'embête pas... Tu vires IPCOP, tu réinstalles une DISTRI de base genre DEBIAN en NETINSTALL avec le minium nécessaire. (Ou Mandrake ou Fedora peut importe)

Tu autorise le FORWARD entre tes deux cartes réseaux (très simple), et tu fais deux règles de routage et c bon.


Schéma :


INTERNET
|
|
FIREWALL PRINCIPAL
192.168.0.254
|
|
|
Réseau principal 192.168.1.0/24
|
|
|
-------------------------------------------------------------------------------------
Carte réseaux 1 : 192.168.0.230
-------------------------------------------------------------------------------------
Distri Linux Routeur (Mandrake ou Fedora de base avec 2 cartes RX : )
[Forward actif]
[Protocole routage dynamique activé (inclu dans FEDORA pakage routed-xxxx.rpm)]
[Passerelle par défaut : 192.168.0.254]
-------------------------------------------------------------------------------------
Carte réseaux 2 : 192.168.100.230
-------------------------------------------------------------------------------------
|
|
|
Sous-Réseau 192.168.100.0/24
|
|
|
(Clients avec comme passerelle 192.168.100.230)

Le routage dynamique permet aux PC du réseau principal de connaitre la passerelle pour accéder au réseau 192.168.100.0/24 car sinon les paquet iront vers leur passerelle par défaut qui est internet or ce n'est pas ce qu'on veut.

[micjack]

Ben non, il suffit d'ajouter une seconde carte reseau sur l'un des deux reseau... Y'a pas besoin de machine supplementaire.

RES2 1ere Carte 192.168.0.2 <----------->192.168.0.1 Firewall <---------> Net
RES2 2eme Carte 192.168.1.2 <----------->192.168.1.1 RES1

[RoB1]

En fait j'ai laisser tomber le ping, c'etait plus un test qu'autre chose avant d'ouvrir les ports.
Donc pas de ping de RED vers GREEN.

Par contre mon probleme de port a été resolu par une simple translation de port.
Merci a toi E-Mat.
J'ai juste renvoyer les ports 137,138,139 vers le server de fichier du rezo GREEN.
Et ca le fait, sous l'explorer je joint tranquillement mon server de fichier via l'@ de la machine Ipcop.
Tout est en ordre, merci bcp a tous pour vos idées.

++

[neodragon]

attention pour certains windows. Je crois que pour win 2000 et xp, ces ports ont été remplacés par le 445 (à confirmer)