plage IP dans les transerts de ports

par **Trey** » 17 Mai 2005 18:19

salut tout le monde,

je suis en train de découvrir IPCop pour protéger plusieurs serveurs web, et pour le moment c'est impeccable pile poil ce qui me faut

J'utilise la version 1.4.6.
Je veux trasnférer les ports 135-139 d'un des alias l'interface rouge vers une machine dans la zone orange. Ca, c'est bon. Par contre, je voudais restreindre l'accès à un sous réseau et non pas à une simple IP : toutes les IP de 192.168.1.x doivent pouvoir accéder, mais pas les autres.

J'ai essayé les syntaxes suivantes :
192.168.1.0 -> est enregistré mais l'accès est interdit
192.168.1.255 -> est enregistré mais l'accès est interdit
192.168.1. -> passe pas
192.168.1 -> passe pas
192.168.1.x -> passe pas

est ce qu'il y a une syntaxe particulière ? La doc ne précise rien en ce qui concerne les plages d'adresses.

Merci !

par **loberty** » 17 Mai 2005 19:15

Bonsoir,

Tu souhaite qu'IPCOP transfert une demande extérieure (par exemple une connexion sur l'adresse 80.119.20.32 port 135) vers quelque chose d'autre : un serveur de ta DMZ.
Tu te dois du lui indiquer une adresse de destination : le serveur de la DMZ.
En effet, IPCOP va relayer la demande provenant sur RED vers un hôte de ORANGE (DMZ).

A+

par **Trey** » 18 Mai 2005 09:07

heu oui ça c'est bon, j'ai dû mal expliquer le problème.
Ce que je veux maintenant c'est restreindre ce transfert pour une plage IP seulement. Je veux que seuls les clients qui se connectent sur RED et qui ont une IP comprise dans une certaine plage (de classe C) puissent bénéficier de ce transfert.

par **loberty** » 18 Mai 2005 09:24

Sauf erreur (je n'ai pas l'interface sous les yeux), dans l'interface des TRANSFERTS DE PORTS tu peux définir cela.
Soit ADRESSE SOURCE, soit tu définis une adresse soit un réseau.
Je ne sais pas si tu peux définir une plage.
Il faut voir avec le guiide d'administration.
Sinon, il te faudra aller taper directement la commande dans le mode console en reseignant rc.firewall.local.

A+

par **Trey** » 18 Mai 2005 09:37

Tu as parfaitement raison, on peut définir une plage d'adresses dans l'interface, mais je n'arrive pas à trouver la bonne syntaxe et le guide d'admin ne l'explique pas (ou alors j'ai de la m dans les yeux, c'est bien possible aussi).
merci pour le tuyau sur la console, je pense que ça sera le plus rapide...

par **cabugs** » 18 Mai 2005 11:10

Salut Trey, je crois que tu pourrais utiliser la syntaxe suivante :
192.168.1.0/24

J'éspère que je réponds bien à ta question.

par **Trey** » 18 Mai 2005 13:24

salut,

merci pour ta réponse. effectivement cette syntaxe est acceptée par le système, mais si je mets par exemple 192.18.1.1/15, ça marche depuis la machine dont l'IP est 192.168.1.12 (parfait, normal), mais aussi depuis 192.168.1.24 (ah, là c'est moins normal

)

J'ai dû rater une étape ...

par **tomtom** » 18 Mai 2005 14:08

Trey a écrit:salut,

merci pour ta réponse. effectivement cette syntaxe est acceptée par le système, mais si je mets par exemple 192.18.1.1/15, ça marche depuis la machine dont l'IP est 192.168.1.12 (parfait, normal), mais aussi depuis 192.168.1.24 (ah, là c'est moins normal )

J'ai dû rater une étape ...

Non, c'est nromal.
Je dirais même plus, ca bva marcher aussi depuis la machien dont l'ip est 192.168.50.100 !!!

/15, ca veut dire 15 bits de maqsque de sous réseau, et ca fait beaucoup trop

explique le genre de plage que tu veux autoriser, on te donnera le bon masque.

Sinon, il existe plein de docs sur internet pour comprendre le fonctionnemetn du masque de sous-reseau !

t.

par **Trey** » 18 Mai 2005 14:50

ah effectivement, tout s'explique.

ma machine a l'IP 123.123.212.182 et je voudrais qu'elle soit accessible depuis toutes les machines dont l'ip est 123.123.213.x.
Si tu as 5 minutes pour calculer le masque ça me dépannera pas mal, mais je vais aussi chercher comment on le calcule parce que je pense que je vais pas mal avoir besoin de cette fonctionnalité.
Je connais les masques tels qu'on les déclare dans les interfaces réseau, mais je ne savais pas qu'on pouvait les exprimer en un seul entier décimal...

par **Trey** » 18 Mai 2005 14:56

c'est bon,je viens de m'apercevoir qu'on peut mettre aussi les masques sous forme "classique", et là je sais le calculer donc le problème est résolu. Merci à tous pour vos réponses. Cela dit, la façon de "traduire" un masque sous la forme 255.255.254.0 en un seul chiffre m'intéresse toujours

par **tomtom** » 18 Mai 2005 15:26

le nombre représente le nombre de bits à 1 dans la representation binaire du masque, ce qui fait que si l'on fait un ET logique bit à bit entre une adresse et un masque de sous-reseau on obtient.. Le numéro de réseau ! (d'où le nom).

255.255.254.0 = 11111111 11111111 11111110 00000000 = /23

le grands masques connus :

255.255.255.255 (host) = /32
255.255.255.0 = /24
255.255.0.0 = /16
255.0.0.0 = /8

typiquement, pour multiplier par deux le nombre d'hotes par sous-reseau, on reduit de 1 la longueur du masque.
/32 = 1 hote, /31 = 2 hotes, /30 = 4 hotes ....
(sauf que l'on perd l'adresse de broadcast et parfois l'adresse de reseau, ce qui fait que l'on prend souvent /30 pour mettre 2 hotes...)

etc.

t.

par **Trey** » 18 Mai 2005 15:47

super utile à savoir ! ça améliore la lisibilité. Merci !

plage IP dans les transerts de ports

plage IP dans les transerts de ports

Qui est en ligne ?