je touche le fond..... ma dmz ne fonctionne pas

Ce forum traite des autres distributions spécialisées, notamment les distributions sécurisées comme ASTARO ou COYOTE LINUX.

Modérateur: modos Ixus

je touche le fond..... ma dmz ne fonctionne pas

Messagepar loubard » 06 Jan 2005 20:43

bonjour,


je suis en train de mettre en place une dmz sous monowall.
ma config réseau :
patte lan (192.168.XXX.XXX)
sortie ver le net ok
patte dmz(62.4.85.XXX)
adresse sur ma dmz (deux machines) 62.4.85.XXX
règle de firewall authorisant les ports 25 53 21 110 80 à etre interrogé
mon adresse wan 62.4.18.XXX (fixe)

sa marche pas

de l'exterieur rien n'est visible..... besoins d 'un coup de main là

:arrow: :boxe: :marre:
Loub'
celeron 500 128Mo sdram -MONOWALL- no HDD
Lan+DMZ freeadsl Mb
Avatar de l’utilisateur
loubard
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 206
Inscrit le: 15 Jan 2004 01:00
Localisation: Lyon

Messagepar jdh » 06 Jan 2005 21:54

Généralement, on configure l'adressage de la DMZ comme une range d'adresses privées (au sens de la RFC1918).

C'est à dire au choix : 10.x.x.x, 172.16-31.x.x et 192.168.x.x avec le choix du masque de sous-réseau.

Utiliser des adresses publiques dans une DMZ, C'EST MAL. Et puis, puisque le firewall en est à filtrer les paquets, ça ne va pas lui demander beaucoup de boulot supplémentaire de changer les adresses !

Cela dit, la question n'est peut-être pas là ! Sauf évidemment si tu ne connais pas les règles de filtrages à fond. Moi, je vois bien une petite règle : pas d'adresses publiques dans un réseau Green ou Orange. Parce que inversement, la règle "pas d'adresses privées dans le réseau Red" est tellement évidente !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar loubard » 06 Jan 2005 22:06

sa je sais... mais je n'ai pas le choix...... je dois router deux ports 80 sur des adresses différentes ???? là sa va coincer non ??
Loub'
celeron 500 128Mo sdram -MONOWALL- no HDD
Lan+DMZ freeadsl Mb
Avatar de l’utilisateur
loubard
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 206
Inscrit le: 15 Jan 2004 01:00
Localisation: Lyon

Messagepar micjack » 06 Jan 2005 22:16

Salut,

T'a une IP fixe? y'a pas confusion qu'elle doit ce retrouver sur ta passerelle et non pas sur ta DMZ ?

Oui, je sais, c'est une question bete, mais... :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar jdh » 07 Jan 2005 00:29

2 ports 80 vers 2 serveurs Web dans une DMZ. Quel est le pb ?
Il faut bien sur disposer de 2 adresses ip. Les 2 adresses sont sur l'interface Red : l'une est un alias noté par exemple eth0:1. Il n'y a aucune difficulté à ensuite rediriger le traffic de l'une ou l'autre vers un puis 2 machines.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar loubard » 07 Jan 2005 15:55

bon de toute façon la rfc n'interdit absolument pas le trafic en dmz sur des ip public.... sans vouloir etres 'désagréable', les adreses publiques ne sont pas un risque sur une dmz..... ne gêne personne... et puis mon pb je ne veux pas le transformer, je veux le résoudre dans la configuration actuelle. marre des freepost...

si tu ne sais pas, je te remercie quand même pour tes remarques que je prend en compte, et que je vais étudier. (quand sa marche on ne touche pas, et sur l'ancien firewall sa marchait comme sa)

mic sur ma patte dmz g une adresse fixe publique, mes deux serveurs ont des adresses fixes publique
... ma patte wan a une adresse fixe publique

a l'exeption de la patte dmz et wan toutes sont liées à un nom de domaine (pas utile comme précision pou mon pb mais sait on jamais)



merci quand même pour vos remarques

cdlt,
Loub'
celeron 500 128Mo sdram -MONOWALL- no HDD
Lan+DMZ freeadsl Mb
Avatar de l’utilisateur
loubard
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 206
Inscrit le: 15 Jan 2004 01:00
Localisation: Lyon

Messagepar jdh » 07 Jan 2005 16:41

Imaginons que ton FAI te fournit, avec la ligne Internet, une range d'adresses ip publiques.
Cette range d'adresses sera, forcément, présente sur la patte réseau du routeur fourni lui-même utilisant une de ces adresses (comme gateway).
Face à ce routeur, tu places ton firewall via un câble croisé. Il y a alors 2 choix :

- soit le firewall présente plusieurs adresses (publiques) à l'aide d'alias, puis renvoie le traffic vers un serveur en dmz,
- soit la dmz utilise une partie de ces adresses : il faut couper en 2 la range fournie (= perte de 2 adresses ip !) ET que le routeur soit redéfini avec range 1 entre routeur et firewall, et range 2 dmz (accès via l'ip du firewall).

Il est tout à fait évident que la solution 1 est préférable !

Je sais j'ai expérimenté la deuxième et c'est pas simple !

Avant de me répondre, si tu as bien compris, merci d'expliquer pourquoi on perd 2 adresses ip (car c'est obligatoirement le cas).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar loubard » 07 Jan 2005 17:41

oui , j'ai bien compris. seulement je reprend une config qui fonctionnais comme celà. je dois en faire de même avec cette distrib ou une autre. sur un netasq f100 sa marche sans pb.
maintenant je pense qu'il n'y a pas grand chose à expliquer lol..... je doit faire un routage et il faut qu'il marche.mes deux autres adresses ip (perdues selon toi) ne me servent qu'à cela, enfin..... elles sont tout de même exploitées par d'autres choses dont je ne peux pas débattre ici, mais qui n'interfère pas dans mes pb
donc (si vous le voulez bien) j'aimerais revenir au pb qui me préocupe, tt en nottant tes remarques (je précise)
comment dois-je faire? j'ai déjà eu un début de réponse, mais il me manque la suite, donc je considère que je n'en sais toujours pas plus

merci a toi

EDIT: " la perte de deux adresses me semble normale (suite a l'adresse réseaux et broadcast si c sa que tu voulais entendre)
Dernière édition par loubard le 07 Jan 2005 17:49, édité 1 fois au total.
Loub'
celeron 500 128Mo sdram -MONOWALL- no HDD
Lan+DMZ freeadsl Mb
Avatar de l’utilisateur
loubard
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 206
Inscrit le: 15 Jan 2004 01:00
Localisation: Lyon

Messagepar loubard » 07 Jan 2005 17:48

ps mes adresses sont pingable de l'exterieur, mais le routage ne se fait pas de l'exterieur vers la dmz. en revanche le routage se fait très bien de l'interieur vers la dmz.
petite précision mes règles de fw sont bonnes, verifié etc etc .
je ne sais pas ce que j'ai oublié de faire là.
Loub'
celeron 500 128Mo sdram -MONOWALL- no HDD
Lan+DMZ freeadsl Mb
Avatar de l’utilisateur
loubard
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 206
Inscrit le: 15 Jan 2004 01:00
Localisation: Lyon

Messagepar jdh » 07 Jan 2005 18:40

Premier point : 2 adresses perdues : Ok

- 1 segment /28 = 16 adresses - 2 (network + broadcast) = 14 - 2 (routeur + firewall) = 12 adr dispo.
- 1 segment /28 divisé en 2 = 1 segment routeur-firewall = 4 adresses dispo = 6-2 (rtr +fw)
+ 1 segment dmz = 5 adresses dispo = 6-1 (fw: adr dmz = gateway pour la dmz)
(Sans compter le routage ip qui doit être défini dans le routeur FAI.)
Mais comme je l'ai déjà dit c'est sans doute pas ça.

Deuxième point : quand la DMZ utilise un segment public, le firewall doit faire du routage ip (simple).

Un firewall (tel IPCOP) fait plutôt du NAT depuis Orange ou Green. A noter que IPCOP fait ce routage simple entre Green et Orange (ou Blue).

Là, la piste est de regarder si une règle iptables bloque certains traffics. Ce qui porrait être le cas notamment à cause de la RFC 1918. Fais donc un "iptables -vn -L".

Par ailleurs, si tu pingues de l'extérieur vers les hosts dans la DMZ c'est qu'un certain traffic est routé. Ce qui confirme plutôt la piste iptables.

Bon courage
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers Autres distributions

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron