Bonjour,
j'aurais besoin de votre expérience pour résoudre un problème:
je souhaite écrire une règle qui dit : de zone rouge (net) vers zone verte ( lan), mais pas toute la zone verte, seulement un sous réseau du lan. donc ma question est de savoir comment on décrit le sous réseau dans la règle, si ipcop est capable de reconnaitre une adresse marquée comme "192.168.2.10/24" ou si il faut l'écrire autrement. Donc merci de m'aider la dessus, comment on écrit un sous réseau dans les règles avec BlockOutTraffic!!!
écriture de règles sous BOT
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
par loberty » 17 Mai 2005 12:51
Bonjour,
Avec BOT tu ne peux gérer que les flux internes (par exemple de GREEN vers ORANGE) et les flux sortants (par exemple de GREEN vers RED).
BOT ne permet pas de gérer le flux entrant (par exemple RED vers GREEN).
Pour gérer les flux entrants, tu dois utiliser le TRANSFERT DE PORT qui est natif dans IPCOP.
Pour le flux entrant je ne vois pas l'intérêt et la faisabilité de spécifier un sous-réseau.
Tu ne peux diriger un flux entrant que vers un hôté précis.
A+
Avec BOT tu ne peux gérer que les flux internes (par exemple de GREEN vers ORANGE) et les flux sortants (par exemple de GREEN vers RED).
BOT ne permet pas de gérer le flux entrant (par exemple RED vers GREEN).
Pour gérer les flux entrants, tu dois utiliser le TRANSFERT DE PORT qui est natif dans IPCOP.
Pour le flux entrant je ne vois pas l'intérêt et la faisabilité de spécifier un sous-réseau.
Tu ne peux diriger un flux entrant que vers un hôté précis.
A+
-
loberty - Contre-Amiral
- Messages: 411
- Inscrit le: 25 Mai 2004 13:47
- Localisation: Val de marne
par juli » 17 Mai 2005 13:27
il y à un point que je ne comprends pas...
avec BOT, on peut écrire des règles de tout sorte.Par exemple une règle du réseau rouge et red adress en source, à destination d'un hôte en zone verte, par exemple autoriser le ftp à rentrer sur tel poste. ipcop précise bien que ce type de règle ouvre le firewall, mais à priori ça à l'air possible. je suis obligé de faire comme ça car à la base j'ai plusieurs serveurs web et le transfert de ports ne permet de transferer un port(par exemple port 80) vers un seul hôte ( un serveur web, sauf que j'en ai plusieurs). c'est pour ça que je souhaite écrire des règles en autorisant le flux http vers l'adresse du sous réseau correspondant à tous les serveurs(web, dns, ftp,...), et tous les flux qui m'intéressent également.
C'est dans ce cadre que je souhaite écrire des règles de rouge vers vert avec un sous réseau spécifique dans vert dédié aux serveurs.
Merci d'avance pour vos explications, la je ne comprends plus.
avec BOT, on peut écrire des règles de tout sorte.Par exemple une règle du réseau rouge et red adress en source, à destination d'un hôte en zone verte, par exemple autoriser le ftp à rentrer sur tel poste. ipcop précise bien que ce type de règle ouvre le firewall, mais à priori ça à l'air possible. je suis obligé de faire comme ça car à la base j'ai plusieurs serveurs web et le transfert de ports ne permet de transferer un port(par exemple port 80) vers un seul hôte ( un serveur web, sauf que j'en ai plusieurs). c'est pour ça que je souhaite écrire des règles en autorisant le flux http vers l'adresse du sous réseau correspondant à tous les serveurs(web, dns, ftp,...), et tous les flux qui m'intéressent également.
C'est dans ce cadre que je souhaite écrire des règles de rouge vers vert avec un sous réseau spécifique dans vert dédié aux serveurs.
Merci d'avance pour vos explications, la je ne comprends plus.
Donde ça bougeou? A la peña Escarte!!
-
juli - Premier-Maître
- Messages: 56
- Inscrit le: 23 Mars 2005 18:04
- Localisation: Bordeaux
par loberty » 17 Mai 2005 13:55
Il est vrai qu'avec BOT il semble possible d'écrire des règles dans tous les sens.
Je n'ai jamais testé des régles du type RED vers GREEN.
A tester ...
Pour gérer un flux type HTTP vers un sous-réseau, je ne vois pas comment faire.
Si tu as une seule adresse IP fixe côté RED, comment va tu gérer le fais que quelqu'un vienne pour consulter ton serveur X ou Y.
IPCOP ne gère pas ce type de différentiation sauf si tu as des adresses IP différentes côté RED.
Sinon, il faut gérer cela via ton serveur WEB.
C'est ce que je fais avec IIS.
J'ai une seule adresse IP fixe mais je dois héberger 5 serveurs WEB sur le même port 80.
J'ai fais ainsi :
. sur IPCOP, via TRANSFERT DE PORTS j'ai redirigé tout ce qui vient du RED en 80 sur mon serveur WEB qui est dans ma DMZ.
. au sein de mon IIS, j'ai créé des serveurs virtuelles, pour chaque serveur je gère l'entête HTT qui correpond au domaine d'où provient la demande par exemple societe1.com pour qulequ'un aura tapé http://www.societe1.com
. tu as le choix d'héberger chaque serveur sur la même machine, où de rediriger vers un autre serveur web
Cela fonctionne bien.
A+
Je n'ai jamais testé des régles du type RED vers GREEN.
A tester ...
Pour gérer un flux type HTTP vers un sous-réseau, je ne vois pas comment faire.
Si tu as une seule adresse IP fixe côté RED, comment va tu gérer le fais que quelqu'un vienne pour consulter ton serveur X ou Y.
IPCOP ne gère pas ce type de différentiation sauf si tu as des adresses IP différentes côté RED.
Sinon, il faut gérer cela via ton serveur WEB.
C'est ce que je fais avec IIS.
J'ai une seule adresse IP fixe mais je dois héberger 5 serveurs WEB sur le même port 80.
J'ai fais ainsi :
. sur IPCOP, via TRANSFERT DE PORTS j'ai redirigé tout ce qui vient du RED en 80 sur mon serveur WEB qui est dans ma DMZ.
. au sein de mon IIS, j'ai créé des serveurs virtuelles, pour chaque serveur je gère l'entête HTT qui correpond au domaine d'où provient la demande par exemple societe1.com pour qulequ'un aura tapé http://www.societe1.com
. tu as le choix d'héberger chaque serveur sur la même machine, où de rediriger vers un autre serveur web
Cela fonctionne bien.
A+
-
loberty - Contre-Amiral
- Messages: 411
- Inscrit le: 25 Mai 2004 13:47
- Localisation: Val de marne
par juli » 17 Mai 2005 13:55
j'ai plusieurs serveurs web avec chacun possédant une adresse publique. mais si je les met en DMZ, je suis foutu à cause du transfert de ports, je ne peux pas rediriger vers le serveur que je veux.
je ne peux hélas mettre en place l'excellente solution que tu propose, tout est déja bien en place, je ne peux pas casser toute l'architecture en place, ça prendrait trop de temps.
autre question sur le même sujet : est ce qu'avec le transfert de ports je peux transferer sur un sous réseau entier (une DMZ par exemple) en rentrant l'adresse de ce sous réseau ( genre 192.168.4.17/28 par exemple) ?
si oui ça m'arrange pas mal!!!!
je ne peux hélas mettre en place l'excellente solution que tu propose, tout est déja bien en place, je ne peux pas casser toute l'architecture en place, ça prendrait trop de temps.
autre question sur le même sujet : est ce qu'avec le transfert de ports je peux transferer sur un sous réseau entier (une DMZ par exemple) en rentrant l'adresse de ce sous réseau ( genre 192.168.4.17/28 par exemple) ?
si oui ça m'arrange pas mal!!!!
Dernière édition par juli le 17 Mai 2005 14:04, édité 1 fois au total.
Donde ça bougeou? A la peña Escarte!!
-
juli - Premier-Maître
- Messages: 56
- Inscrit le: 23 Mars 2005 18:04
- Localisation: Bordeaux
par loberty » 17 Mai 2005 14:13
J'ai raté une partie de ton dernier post !
Si tu as plusieurs adresse publique cela devrait être OK.
Dans TRANSFERT DE PORT, tu peux je crois sélectionner l'ALIAS qui je crois correspond à une adresse ip fixe.
Dans ce cas, pour l'adresse n°1 tu transfert tout sur le serveur à l'adresse X sur les mêmes ports.
faut que tu te renseigne sur cette histoire d'alias ou alors c'est adresse source au bas de la prog de TRANSFERT DE PORTS (http://www.ipcop.org/1.4.0/en/admin/htm ... forwarding)
A+
Si tu as plusieurs adresse publique cela devrait être OK.
Dans TRANSFERT DE PORT, tu peux je crois sélectionner l'ALIAS qui je crois correspond à une adresse ip fixe.
Dans ce cas, pour l'adresse n°1 tu transfert tout sur le serveur à l'adresse X sur les mêmes ports.
faut que tu te renseigne sur cette histoire d'alias ou alors c'est adresse source au bas de la prog de TRANSFERT DE PORTS (http://www.ipcop.org/1.4.0/en/admin/htm ... forwarding)
A+
-
loberty - Contre-Amiral
- Messages: 411
- Inscrit le: 25 Mai 2004 13:47
- Localisation: Val de marne
par juli » 17 Mai 2005 14:20
je pensais à un truc : quand on écrit une règle qui autorise de rouge vers vert (un poste de vert) en passant par un certain port, cela ne revient t'il pas à un transfert de ports déguisé? je dirais que oui...
mais je vais creuser l'histoire d'alias, ça me semble bien.
concrètement, j'ai plusieurs serveurs web, dns, ftp... avec leur propre adresse publique. cependant, je souhaite les avoir en DMZ , voire en zone verte dans le pire des cas. si je les mets dans la DMZ, je peux donc créer des alias et faire du port forwarding avec... je vais voir si ça marche! merci pour tes conseils!
mais je vais creuser l'histoire d'alias, ça me semble bien.
concrètement, j'ai plusieurs serveurs web, dns, ftp... avec leur propre adresse publique. cependant, je souhaite les avoir en DMZ , voire en zone verte dans le pire des cas. si je les mets dans la DMZ, je peux donc créer des alias et faire du port forwarding avec... je vais voir si ça marche! merci pour tes conseils!
Donde ça bougeou? A la peña Escarte!!
-
juli - Premier-Maître
- Messages: 56
- Inscrit le: 23 Mars 2005 18:04
- Localisation: Bordeaux
9 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité