Bonjour,
J'essaie depuis quelques jours de placer un serveur réseau en zone orange. Ce serveur reseau doit en particulier héberger un serveur samba pour mon réseau GREEN.
Pour des raisons pratiques, j'ai modifié /etc/rc.d/firewall :
- Pour bloquer totalement le traffic a partir de GREEN, j'ai commenté la ligne suivante : /SBIN/IPTABLES -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
- Ajout de la ligne suivante pour autoriser le traffic de GREEN vers ORANGE /sbin/iptables FORWARD -s 192.168.X.0/24 -d 192.168.Y.0/24 -m state NEW -j ACCEPT
- Dans etc/rc.d/firewall.local, ajout des lignes permettant l'ouverture de certains ports depuis GREEN, pour cetaines adresses MAC
Avec cette config, j'arrive à pinguer le serveur en zone orange. Par contre, je ne parvient pas a rejoindre le domaine SAMBA.
Que se passe-t-il ?
Merci d'avance
IPCOP + SAMBA en zone orange
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
IPCOP + SAMBA en zone orange
par wareikat » 19 Sep 2005 10:54
- wareikat
- Matelot
- Messages: 6
- Inscrit le: 06 Juin 2005 15:06
par kinkey » 20 Sep 2005 13:49
euu un serveur samba dans une zone orange... faut être un peu kamikaze. Normalement la zone orange est une zone dite public, c'est à dire qu'elle est accessible depuis le net (rouge) et de le local (vert). Hors le protocole utilisé par samba (CIF ou NetBios) est de loin le moins sécurisé et surtout il est prévu pour fonctionner en réseau local puisqu'il est dit non routable. Donc si tu tiens absolument à faire comme ça il faut laisser passer les port 137, 138, 139, 445 et surement d'autre, mais t'étonne pas si ton serv est mort au bout de 20sec.
Bon courage.
Bon courage.
! Meme pas peur !
FAQ
FAQ
-
kinkey - Capitaine de vaisseau
- Messages: 292
- Inscrit le: 09 Avr 2003 00:00
- Localisation: Lyon
par jdh » 20 Sep 2005 14:09
Bien sur, il faut éviter d'installer un serveur SAMBA ou WINDOWS (pour le partage de fichiers) dans une DMZ.
Par contre, une petite précision (et correction), le protocole de partage de fichiers et/ou d'imprimante s'appelle CIFS et NETBIOS par Microsoft. Il s'agit d'un protocole qui passe très bien au travers des routeurs (c'est le protocole "transport" NETBEUI qui n'est pas routable, confusion très fréquente !). Sinon les ports à regarder sont bien udp/(135, 135-139, 445) et tcp/(135,139,445). J'ajouterais tcp/1025 pour des réseaux Windows >2K, mais ce n'est pas certain.
Mais la grande difficulté de CIFS est la découverte des ressources qui fonctionne soit par broadcast (et est donc limité au réseau local) soit par des serveurs WINS (sorte d'équivalent à dns, spécialisé dans ce domaine).
Je pense qu'il faut que tu revoies ton architecture. Par exemple,
- si l'accès aux données du serveurs est nécessaire à partir d'Internet, c'est vers le VPN qu'il faut se tourner,
- si c'est l'accès à l'arboresnce d'un serveur Web en DMZ, c'est vers WebDAV qu'il faut se tourner,
- etc ...
Par contre, une petite précision (et correction), le protocole de partage de fichiers et/ou d'imprimante s'appelle CIFS et NETBIOS par Microsoft. Il s'agit d'un protocole qui passe très bien au travers des routeurs (c'est le protocole "transport" NETBEUI qui n'est pas routable, confusion très fréquente !). Sinon les ports à regarder sont bien udp/(135, 135-139, 445) et tcp/(135,139,445). J'ajouterais tcp/1025 pour des réseaux Windows >2K, mais ce n'est pas certain.
Mais la grande difficulté de CIFS est la découverte des ressources qui fonctionne soit par broadcast (et est donc limité au réseau local) soit par des serveurs WINS (sorte d'équivalent à dns, spécialisé dans ce domaine).
Je pense qu'il faut que tu revoies ton architecture. Par exemple,
- si l'accès aux données du serveurs est nécessaire à partir d'Internet, c'est vers le VPN qu'il faut se tourner,
- si c'est l'accès à l'arboresnce d'un serveur Web en DMZ, c'est vers WebDAV qu'il faut se tourner,
- etc ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité