Routage des paquets de DMZ pour retour LAN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Routage des paquets de DMZ pour retour LAN

Messagepar FranckP » 04 Août 2005 12:16

Bonjour,

L'acces a 1 serveur FTP (DMZ) depuis Internet est OK et rapide.
L'acces a FTP (DMZ) depuis un poste du LAN (Green) est tres lente a la connexion (environ 10sec pour reponse) !!!

Apres investigation il apparait dans le tableau des connexions une connexion UDP du FTP vers la connexion internet ppp0.

La table de routage me parait bizzare mais je n'y connais pas grand chose en routage.

Les paquets LAN de eth0 (192.168.10.0/24) ont une gateway de 0.0.0.0
Les paquets DMZ de eth1 (192.168.20.0/24) ont une gateway de 0.0.0.0
..
Les paquets 0.0.0.0 ont une gateway de x.y.z.w (Ip de P-t-P de la connexion internet)


Apres un ethereal sur Dmz, je vois de paquets de type ARP - Who has ...

Ca sent la problematique de routage mais j'ai besoin d'aide .....

Merci


Franck
FranckP
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 29 Juin 2005 14:10

Messagepar sioca » 04 Août 2005 13:22

>Les paquets LAN de eth0 (192.168.10.0/24) ont une gateway de 0.0.0.0
>Les paquets DMZ de eth1 (192.168.20.0/24) ont une gateway de 0.0.0.0

Tu parles sur le serveur ipcop ?

Peux tu faire un coupier coller de ta table stp

> Apres un ethereal sur Dmz, je vois de paquets de type ARP - Who has ...
> Ca sent la problematique de routage mais j'ai besoin d'aide .....

Non, une machine pour communiquer avec une autre doit connaitre son adresse MAC. Et pour l'avoir il demande :-)
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar FranckP » 04 Août 2005 13:24

Pour info, j'ai seulement (Onglet "Acces DMZ") ouvert les ports 21 et 22 de IP source du serveur FTP (192.168.20.2) vers l'interface eth0 ( Green).

Est ce que c'est juste !!

Merci
FranckP
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 29 Juin 2005 14:10

Messagepar FranckP » 04 Août 2005 13:27

Table ARP

Destination Gateway Genmask Flags Metric Ref Use Iface
193.253.161.3 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
1.1.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 193.253.161.3 0.0.0.0 UG 0 0 0 ppp0
FranckP
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 29 Juin 2005 14:10

Messagepar FranckP » 04 Août 2005 15:34

Y-a-t-il d'autres ports importants a ouvrir que 20 et 21 pour com. entre DMZ (ftp) et LAN ???

Si je desactive mes 2 regles sur ports 20/21 c'est le meme retard de reponse ( 10 sec environ)

Il y a un pb quelque part ...

Merci
FranckP
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 29 Juin 2005 14:10

Messagepar sioca » 04 Août 2005 22:57

FranckP a écrit:Table ARP

Destination Gateway Genmask Flags Metric Ref Use Iface
193.253.161.3 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
1.1.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0


Normal que tu ai 0.0.0.0 en gateway car par exemple pour l'interfance eth1, le subnet est 192.168.20.0/24 et il n'y a pas besoin de passer par une passerelle pour communiquer avec ce réseau.

FranckP a écrit:0.0.0.0 193.253.161.3 0.0.0.0 UG 0 0 0 ppp0


Sinon pour tout le reste (0.0.0.0) il faut communiquer avec la passerelle 193.253.161.3 (bout de la liaison ppp0)
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar FranckP » 05 Août 2005 09:30

Le probleme est peut etre dans la formulation de ma regle pour Acces DMZ -> LAN

Je veux autoriser les comm canaux 20, 21 de DMZ vers LAN


Sachant que ma carte ipcop Orange est : 192.168.20.1 et Ftp serveur : 192.168.20.2
et que ma carte Green est 192.168.10.1

J'ai ecrit

Source 192.168.20.2 vers 192.168.10.1 autoriser port 21 et 20 tcp


est ce que c'est juste !?????!!!

Merci
Franck
FranckP
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 29 Juin 2005 14:10

Messagepar sioca » 05 Août 2005 09:48

Il n'y a rien a faire normalement pour la communication entre la DMZ et le LAN.

Peux tu copier/coller ton fichier /etc/dhcpd.conf stp ?

As tu modifier ton fichier /etc/rc.d/rc.firewall ? si oui peux tu montrer la partie modifier ?
sioca
Major
Major
 
Messages: 90
Inscrit le: 27 Juin 2005 13:46

Messagepar FranckP » 05 Août 2005 10:02

Le service DHCP est desactivé et pas de modif direct sur les fichier

1- Si tout passe de DMZ vers LAN a quoi sert l'onglet "Acces DMZ" dans l'interface admin ????

2 - Y a t il une doc quelque part pour l'utilisation de certains onglets de l'interface ??


Merci
FranckP
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 29 Juin 2005 14:10


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron