tse et ipcop (avec une vpn futur)

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

tse et ipcop (avec une vpn futur)

Messagepar cocolapin21 » 26 Juil 2005 14:43

bonjour,

je viens de mettre en place un réseau de test pour vérifier si j'arrive à me connecter en tse depuis le red sur un serveur dans le green.

j'ai éssayé un petit peu le transfert de port mais sans résultat je ne sais que faire.

pour info voici mon réseau de test

client 2000 (192.168.1.232/24) --> red (192.168.1.90/24) IPCOP green (10.0.0.1/24) --> serveur 2000 (10.0.0.5/24).

quelqu'un pourrait-il m'aider pour je pense le transfert de port :?:
Dernière édition par cocolapin21 le 26 Juil 2005 17:33, édité 2 fois au total.
Avatar de l’utilisateur
cocolapin21
Aspirant
Aspirant
 
Messages: 116
Inscrit le: 09 Fév 2005 12:04
Localisation: bourgogne, dijon

Messagepar remi » 26 Juil 2005 17:20

Salut,

Je crois que le port utilisé pour TSE est le 3389.

Cdt,

Rémi
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar cocolapin21 » 26 Juil 2005 17:32

voila ce que j'indique dans transfert de port

port source : 3389
port destination : 3389
ip destination : 10.0.0.5 (serveur 2000)

mais sans résultats

ou est le problème :?:
Avatar de l’utilisateur
cocolapin21
Aspirant
Aspirant
 
Messages: 116
Inscrit le: 09 Fév 2005 12:04
Localisation: bourgogne, dijon

Messagepar Franck78 » 26 Juil 2005 17:57

Salut,

C'est TOUJOURS pareil pour debugger ce genre de truc:

tcpdump -i RED_DEV (eth0 ?) -n
pour voir si ca arrive bien dans l'Ipcop

tcpdump -i GREEN_DEV (eth1 ?) -n
pour voir si ca traverse bien Ipcop et voir les réponses renvoyées par le serveur...


Faut écouter quelques part sur la 'chaine' de machines traversées et voir ou ca bloque.
La on peut commencer à chercher en bon endroit (en général).

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar micjack » 26 Juil 2005 18:36

cocolapin21 a écrit:port source : 3389
port destination : 3389

Salut,

Pourquoi designer un port source? alors que sur un client il peut etre attribué n'importe quel port...
A mon avis tu rencontre le meme probleme qu'avec tes tests en VNC.

En revenant sur ton topic VNC (qui je suppose est le meme probleme qu'avec ton TSE)
Sachant que pour un Firewall, IPCop n'a pas de regles particulieres, on les rencontres meme sur la plus part des distrib comme parametres par defaut.

Donc ayant deja eu un ftp sur un reseau local avec un Firewall RedHat, je n'arrive pas à comprendre comment tu n'arrive pas à traveser ton IPCop avec la regel comme j'ai decrite dans ton autre poste.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5900 -j DNAT --to-destination 192.168.1.10

Attention: En considerant que eth0 est ton RED, que 5900 est bien le port d'ecoute et que 192.168.1.10 est ton green. Si non, tu adapte (Valable pour TSE)

Puis il y'a a aussi à mon sens, que tu souhaite avoir tout d'un coup qui fonctionnne (l'appli qui traverse le FW, le filtrage Squid, Sguidguard )

Je pense (comme deja dit dans l'autre topic) qu'il faut que tu désactive tout addon qui pourrait eventuellement en etre la cause.
Si sans addon tu arrive à passer, c'est au moins un probleme de réglé, et dans ce cas, il faut regarder du coté des addon et non d'IPCop (qui sont deux chose differents)

Si tu n'arrive toujours pas à passer sans les addons, tu serra au moin certain, qu'il faut continué à chercher du coté des regles IPCop (en gardant toujour les addons desactivés )

Voili mon point de vu.

Mais commence aussi à revoir l'histoire de ton port source plus haut.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar cocolapin21 » 26 Juil 2005 23:04

pour info j'ai éffacé mon ancien ipcop.

j'ai installé ipcop 1.4.6 sans add-on

j'essaye de faire les tests demain

bonne nuit et merci pour les infos, même si je suis un boulet
Avatar de l’utilisateur
cocolapin21
Aspirant
Aspirant
 
Messages: 116
Inscrit le: 09 Fév 2005 12:04
Localisation: bourgogne, dijon

Messagepar micjack » 27 Juil 2005 02:02

Prend surtout les choses dans l'ordre, mais surtout pas en sautant les étapes :wink:

Cela en plus embrouille pour te filer un coup de main (J'ai franchement du mal à suivre tes problemes, je penses que cela doit etre du à ton desire que tout doit fonctionner en meme temps et immediatement :? )
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar cocolapin21 » 27 Juil 2005 09:09

Cela en plus embrouille pour te filer un coup de main (J'ai franchement du mal à suivre tes problemes, je penses que cela doit etre du à ton desire que tout doit fonctionner en meme temps et immediatement )

désolé :oops:

je reprend de suite :wink:
Avatar de l’utilisateur
cocolapin21
Aspirant
Aspirant
 
Messages: 116
Inscrit le: 09 Fév 2005 12:04
Localisation: bourgogne, dijon

Messagepar cocolapin21 » 27 Juil 2005 09:34

me revoila

donc toujours pas d'effet ](*,)

voici la commande que j'ai tapé

iptables -t nat -A PREROUTING -i 192.168.1.90 -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.1


je vais éssayer tcpdump :!:
Avatar de l’utilisateur
cocolapin21
Aspirant
Aspirant
 
Messages: 116
Inscrit le: 09 Fév 2005 12:04
Localisation: bourgogne, dijon

Messagepar pkaer » 27 Juil 2005 10:13

Salut,

Ton problème devrait trouver nativement sa solution au travers de la GUI d'IPCop. Pas besoin de mettre à la main des regles "iptables" dans le rc.firewall.local.

Pour ma part, j'utilise les accès TSE au travers d'IPCop de manière régulière est dans le "transfert de port" j'ai juste paramétré

Alias IP : DEFAULT
Port Source : 3389
Adresse IP de destination : 10.0.0.5
Port destination : 3389


Par la suite tu peux paramétrer des accès externes pour limiter l'accès à qq adresses IP spécifiques.


@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar cocolapin21 » 27 Juil 2005 11:06

j'ai de nouveau éffacé ipcop et réinstallé (1.4.2) pas de mise à jour, pas d'add-on.

j'ai fait
Alias IP : DEFAULT
Port Source : 3389
Adresse IP de destination : 10.0.0.5
Port destination : 3389


et cela ne fonctionne toujours pas.

ca m'enerve
moi :boxe: ipcop

y a t-il quelque chose de particulier à paramètrer avec l'interface tse :?:
(j'avais réalisé un test auparavant pour vérifier si la tse fonctionnait sur le même réseau et ce test était concluant)
Avatar de l’utilisateur
cocolapin21
Aspirant
Aspirant
 
Messages: 116
Inscrit le: 09 Fév 2005 12:04
Localisation: bourgogne, dijon

Messagepar micjack » 27 Juil 2005 11:29

pkaer a écrit:Pour ma part, j'utilise les accès TSE au travers d'IPCop de manière régulière est dans le "transfert de port" j'ai juste paramétré

Alias IP : DEFAULT
Port Source : 3389
Adresse IP de destination : 10.0.0.5
Port destination : 3389

Perso je ne pige pas la relation que peut avoir le parametrage "port source" de vos IPCop.. Y'a pas sur vos IPCop une saisie qui designe aucun port source en particulier ? Genre comme pour les IP en listening 0.0.0.0

Meme en alignant les regles Iptables, et quand je dois utiliser un port source et un de destinaton, c'est que je sais qui doit allé ou.

Exemple: Une redirection du "port source" 110 vers le "port destination" 8110 de mon proxy pop (la je compred )

Je viens lancer le remote de TSE pour voir avec Netstat le port qu'il prend, ben il prend n'importe quel port (à la suite de ceux deja ouverts ou ayants deja servis) Bon, comme je ne connais pas forcement IPCop, il vaut mieux que je laisse tomber à comprendre la GUI d'IPCop :?

Les regles iptables permetent bien souvant de contourner celles deja en places. Mais comme tu es la deuxieme personne qui dit qu'il suffit simplement de passer par la GUI --> transfert de port.. Alors, il reste à cocolapin21 de grater vraiment d'ou viens le probleme...

Et en revenche, je trouve qu'il n'y a pas beaucoup d'IPCopiens qui participent à ses problemes :?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar pkaer » 27 Juil 2005 11:54

@mickjack,

Je ne suis pas expert en iptables mais voici typiquement un problème que je resouds avec la GUI d'IPCop :


j'héberge dans ma DMZ ma messagerie sur un serveur SME qui de fait utilise le port 25(SMTP). Sur le même serveur SME je dispose d'Interscan VirusWAll (pour filtrer le flux SMTP) qui écoute sur le port 2525 et après analyse renvoie sur le port 25 de QMAIL


Donc à la reception du flux SMTP sur l'interface RED de mon IPCop, je paramètre mon transfert de port de la manière suivante :

Alias IP : DEFAULT (tout Internet)
Port Source : 25 (Le flux SMTP)
Adresse IP de destination : 172.16.0.1 (Adresse IP serveur SME)
Port destination : 2525 (port d'écoute de InterScan Virus Wall)


Si je ne spécifais pas ce port source, comment pourrais-je savoir qu'il faut le rediriger sur le port 2525 ?

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar micjack » 27 Juil 2005 12:13

Je comprend bien Pkaer, ce que tu viens d'expliquer est exatement ce que j'ai decrit avec mon proxy pop plus haut :wink:

Il y'a bien un serveur Source et serveur Cible avec ports connus (source -> destination ) Sans transfert de port, cela ne fonctionnerait pas.. C'est bien comme cela que j'interpretais le transfert de port sur IPCop ou tout autres routeur d'ailleur ... La, on est tout à fait d'accord..

Moi ce que je ne pige pas, c'est que pour le cas de cocolapin21 qui a un serveur TSE sur son Green (quand ce n'est pas VNC) et que l'on soit obligé de désigner dans la GUI d'IPCop un port source qui n'est pas fixe

C'est ca , que je ne pige pas :?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar pkaer » 27 Juil 2005 13:09

@micjack,


la connexion se fait à l'initiative du client TSE, donc sur l'interface RED d'IPCop, et est toujours sur le port 3389. (Une sorte de "handshaking" ?)
Ce port est fixe sauf à le modifier au niveau du PC Client et sur le serveur tel que le décrit l'article de M$
http://support.microsoft.com/default.as ... ;fr;187623

Une fois la connexion établie TSE utilise peut-être d'autres ports, comme tu le décris, mais comme on est sur une connexion établie et de ce fait IPCop laisse passer les informations.

A mon avis, mais peut-être que je me trompe, cela doit ressembler au principe d'une connexion FTP (actif) qui utilise le port 21 pour la connexion et après utilise d'autres ports.

Il y a surement des spécialistes de tout cela sur le forum qui pourraient éclairer notre lanterne.

Pour ma part, je suis plutôt touche à tout et spécialiste en rien :lol:
@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron