Plusieurs Réseaux derrière GREEN

[kinaï]

Bonjour,

Je suis confronté à un problème assez particuliers :

J'ai installé IPCOP 1.4.6 comme pare-feu de mon réseau. IPCOP est installé en RED/GREEN. Derrière mon réseau GREEN, j'ai une plusieurs LAN, le routage est assuré par un routeur dedié.

Le problème est que je ne parviens à publier que les serveurs qui se trouvent sur le réseau GREEN et pas sur les autres. En interne cela fonctionne parfaitement. Je pensais que le problème pouvait venir de la NAT et du fait que les réseaux derrière mon routeur interne ne sont pas natté, mais les lignes suivantes m'interrogent ...


Chain REDNAT (1 references)
target prot opt source destination
MASQUERADE all -- anywhere anywhere



Quelqu'un aurait-il une idée ?

Kinaï

[kinaï]

Pour précision,

il vas de soit que j'ai ajouter les routes qui vont bien dans mon ipcop et que depuis la console SSH de ipcop je peux vérifier la disponibilité (ping) des serveurs que je souhaite publier

Kinaï

[jdh]

Il est nécessaire que

- il y ait les routes (statiques) vers les réseaux considérés comme Green
- le routeur ait une route par défaut par l'IPCOP
- la règle de masquerading DOIT être basé sur l'interface et non le n° de réseau green "immédiat".

Je suppose que le paramétrage standard IPCOP, basé sur le maximum de sécurité, comporte la règle la plus sécuritaire basé sur le réseau (n° de réseau au sens IP) et non l'interface (eth?).

Pour vérifier cela, il suffit de taper "iptables -t nat -L" et regarder les règes de POSTROUTING (PREROUTING ?).

Je ne connais pas (suffisamment) IPCOP pour te dire comment modifier les règles.

[kinaï]

1. Route static : c'est ok
2. evidemment : c'est ok
3. le masquerade est fait sur anywhere

Ce qui me fait dire que le problème est lié à IPCOP est que depuis l'IPCOP je peux pinger mon serveur depuis IPCOP mais je ne peux pas faire l'inverse alors que les ping est autoriser sur toutes les interfaces.

kinaï

[micjack]

Salut,

Perso, je ferrait les tests sans le routeur dans un premier temp... Puis visiblement sur IPCop pour un serveur en Green, il suffit de faire un transfert de port dans l'interface d'administration...

J'avais deja tenté de faire ajouter une regle Iptables dans un autre topic, mais apres un iptables -L -v -n -t nat .....Ma regle faisait la meme chose que le transfert port...Meme si je trouve le transfert de port zarbi sur IPcop, c'est par la qu'il faut passer...

http://forums.fr.ixus.net/viewtopic.php ... sc&start=0

[kinaï]

Le transfert de port sur le réseau GREEN fonctionne parfaitement.

Le problème est qu'il semblerait qu'IPCOP ne soit pas capable de faire du transfert de port vers un réseau derrière l'interface GREEN.

Kinaï

[micjack]

Si tu lis entierement le lien plus haut, tu lira qu'il y'a un serveur TSE sur Green et notre ami a pu y'avoir acces depuis son Red

C'etait franchement un topic prise de tete pour pas grand chose...

[kinaï]

Il y a prise de tête parce que tu n'as pas compris ce que je cherche à faire.

Je ne cherche pas à publier un serveur qui se trouve sur GREEN, je cherche à publier un serveur qui se trouve sur un autre réseau derriere GREEN.


Internet ---I-RED---- IPCOP ----- I-GREEN ---- LAN1 ------ ROUTEUR ----- LAN2 ----- SERVEUR

Si je publie un serveur se trouvant sur le LAN1 pas de problème vu que je suis directement connecté à l'interface GREEN. Mais là je cherche à publier un serveur qui se trouve sur le LAN2 et cela ne marche pas ... je pense que IPCOP ne fait de la translation d'adresse (NAT) que pour les réseaux qui lui sont directement connectés, pas sur les autres et c'est ce problème que je cherche à règler.

Kinaï

[micjack]

Il y a prise de tête parce que tu n'as pas compris ce que je cherche à faire.

Arf, je ne parlais pas de ton topic, mais de celui ou j'ai donné le lien

Je ne cherche pas à publier un serveur qui se trouve sur GREEN, je cherche à publier un serveur qui se trouve sur un autre réseau derriere GREEN.

Oui ca je l'ai bien compris, mon lien c'est justement pour te donner une idée, puisque il y'a un serveur sur Green...

Si non, comme je t'ai dit plus haut, as tu acces à ton serveur sans le routeur ?
Tu le met sur le meme reseau que Green juste pour le test...

Mais tout compte fait, tu veux qu'il soit accessible d'ou ton serveur (y'a un truc qui m'echape)

[kinaï]

Le serveur a publié doit être accessible depuis RED ...

J'ai installé telnet sur la machine ipcop. si je tente une connection telnet sur le port 80 du serveur que je cherche à publié, j'obtiens un echo. Cela signifie que la machine IPCOP sait ou et comment accèder à la machine, que les règles de routage sur le LAN sont correct et que les services www tournent correctement. Ce qui ne marche pas c'est la publication de ce serveur. J'ai déjà un serveur publié en GREEN qui fonctionne parfaitement ...

Merci,
Kinaï

[micjack]

Oui mais si tu fais un telnet depuis la machine IPCop c'est pas bon... Cela te dis simplement que tu a acces depuis ton IPCop sur ton Green (en s'en fout) mais pas depuis Red..

C'est justement le but de t'avoir mit le lien plus haut, tu dois avoir acces de Red vers Green (Forward)

Mais je pense que c'est au nivau du routeur que tu doit faire quelque chose pas du coté IPCop, puisque tu dis que tu a deja acces de Red vers Green...

[Franck78]

Salut,

Ipcop n'est pas un routeur. Il connait le réseau green que 'par la force des chose' puisqu'il y ait connecté. Mais jamais il ne parviendra seul à trouver un routeur sur GREEN pour aller vers d'autre réseau.
Pour lui, tous les réseaux sont joignables par la default gateway qui est sur le réseau RED.

Le NAT à peu a voir dans l'histoire. Il transforme les paquets partant vers l'extérieur.

Apprends par des routes statiques les réseaux GREEN-bis et ca roulera.


Bye

[micjack]

Ipcop n'est pas un routeur

Pourquoi tu repond cela ? il n'y a aucun rapport avec le sujet il me semble, non
Puisque, c'est son routeur sur Green qui doit router son autre Green pour etre sur le Green d'IPCop... (Voui, ca fait baucoup de Green dans la phrase )

[jdh]

Si l'IPCOP ping le serveur au delà du routeur (et réciproquement) c'est que le routeur fait son boulot c'est à dire router les paquets.

Si la publication du serveur ne fonctionne pas c'est qu'il y a une règle qui empeche ou les paquets initiaux ou les paquets sortants.

Les paquets initiaux correspondent à la règle de publication ("state new"). Les paquets retours sont de type "state established" (ou "related"). Une règle usuelle est d'autoriser les paquets "established". (Ce qui, au passage, permet les SNAT différents du masquerading).

Ne connaissant pas IPCOP (jamais installé et pas l'intention de le faire), je ne peux dire si une règle interdit ces paquets retours.

En l'état, j'analyserai attentivement les règles iptables par "iptables -vn -L" et "iptables -vn -L -t nat". Si je ne trouvais pas, je ferais quelques tcpdump (avec "-l | tee") bien sentis pour voir un peu ce qui se passe.

Je présume que les règles iptables générées par IPCOP sont très strictes. Il est fort possible que volontairement on ai éludé ce cas de figure car, par défaut, les serveurs publiés devraient être en zone Orange, enfin dans une "bonne" architecture !.

Pour revenir précisement au fil, je confirme que

- le test depuis IPCOP d'accès au serveur derrière le routeur ne compte effectivement pas même si c'est nécessaire que cela fonctionne (condition nécessaire mais non suffisante).
- il reste 2 possibilités :
ou IPCOP execute bien le boulot qu'il a à faire (et tu le verras avec un tcpdump)
ou le routeur merdoit parce que, par exemple, il a lui même une route par défaut hors des tes réseaux.

Néanmoins, je peux supposer que le routeur t'es fourni par un quelconque fournisseur de lien WAN national per exemple. Et dans ce cas, il est peu probable qu'il soit aussi mal configuré. Sinon je m'inquiéterais pour la quiétude de ton réseau privé.

Un bon test pour éliminer cette question : le serveur distant ou n'importe quel PC voisins peut-il naviguer, par exemple, au travers de ton IPCOP ?

Cela dit, mcijack a dans le fil indiqué en url une excellente remarque sur les ports source et destination.

[micjack]

Arf, toujour les tartines et rapide de Jdh, y'a meme pas le temp de rééditer un message

Si non,

Si l'IPCOP ping le serveur au delà du routeur (et réciproquement) c'est que le routeur fait son boulot c'est à dire router les paquets.

Ben, si tu l'a lu quelque part dans ce topic, c'est qu'il n'y a plus grand chose comme probleme, mais reste à definir...

Moi fin de semaine c'est dure...