VPN et voisinage réseau

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VPN et voisinage réseau

Messagepar sharkattack » 29 Nov 2005 11:20

Bonjour !

je viens de mettre en place deux ipcop sur deux reseaux et de créer un VPN. Pour l'instant aucun problème. Vive IpCop. Le problème est que j'ai du mal a voir mon voisinage réseau distant. Je peux pinger sur l'ip et sur le nom machine (grace un server DNS sur un AD) mais les pc n'apparaissent pas dans le voisinage réseau.

192.168.1.x => ipcop 1.4.10 => Internet <= ipcop 1.4.10 <= 192.168.0.x


J'ai cherhé dans votre forum et trouvé ceux ci http://forums.fr.ixus.net/viewtopic.php?t=4359&highlight=voisinage+reseau.J'ai bien compris qu'il fallait "ouvrir" enfin plutot laisser passer certains port netbios comme suit :


iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j ACCEPT


mais voila ou faut il mettre ca dans le fichier rc.firewall?

Pour info voila mon rc.firewall

Code: Tout sélectionner
#!/bin/sh
#
# $Id: rc.firewall,v 1.7.2.19 2005/10/03 00:34:12 gespinasse Exp $
#

eval $(/usr/local/bin/readhash /var/ipcop/ppp/settings)
eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings)
IFACE=`/bin/cat /var/ipcop/red/iface 2> /dev/null | /usr/bin/tr -d '\012'`

if [ -f /var/ipcop/red/device ]; then
   DEVICE=`/bin/cat /var/ipcop/red/device 2> /dev/null | /usr/bin/tr -d '\012'`
fi

iptables_init() {
   # Flush all rules and delete all custom chains
   /sbin/iptables -F
   /sbin/iptables -t nat -F
   /sbin/iptables -t mangle -F
   /sbin/iptables -X
   /sbin/iptables -t nat -X
   /sbin/iptables -t mangle -X

   # Set up policies
   /sbin/iptables -P INPUT DROP
   /sbin/iptables -P FORWARD DROP
   /sbin/iptables -P OUTPUT ACCEPT

   # Empty LOG_DROP and LOG_REJECT chains
   /sbin/iptables -N LOG_DROP
   /sbin/iptables -A LOG_DROP   -m limit --limit 10/minute -j LOG
   /sbin/iptables -A LOG_DROP   -j DROP
   /sbin/iptables -N LOG_REJECT
   /sbin/iptables -A LOG_REJECT -m limit --limit 10/minute -j LOG
   /sbin/iptables -A LOG_REJECT -j REJECT

   # This chain will log, then DROPs packets with certain bad combinations
   # of flags might indicate a port-scan attempt (xmas, null, etc)
   /sbin/iptables -N PSCAN
   /sbin/iptables -A PSCAN -p tcp  -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? "
   /sbin/iptables -A PSCAN -p udp  -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? "
   /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? "
   /sbin/iptables -A PSCAN -f      -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? "
   /sbin/iptables -A PSCAN -j DROP

   # New tcp packets without SYN set - could well be an obscure type of port scan
   # that's not covered above, may just be a broken windows machine
   /sbin/iptables -N NEWNOTSYN
   /sbin/iptables -A NEWNOTSYN  -m limit --limit 10/minute -j LOG  --log-prefix "NEW not SYN? "
   /sbin/iptables -A NEWNOTSYN  -j DROP

   # Chain to contain all the rules relating to bad TCP flags
   /sbin/iptables -N BADTCP

   # Disallow packets frequently used by port-scanners
   # nmap xmas
   /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN,URG,PSH  -j PSCAN
   # Null
   /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL NONE -j PSCAN
   # FIN
   /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN -j PSCAN
   # SYN/RST (also catches xmas variants that set SYN+RST+...)
   /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,RST SYN,RST -j PSCAN
   # SYN/FIN (QueSO or nmap OS probe)
   /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j PSCAN
   # NEW TCP without SYN
   /sbin/iptables -A BADTCP -p tcp ! --syn -m state --state NEW -j NEWNOTSYN

   /sbin/iptables -A INPUT   -j BADTCP
   /sbin/iptables -A FORWARD -j BADTCP

}

iptables_red() {
   /sbin/iptables -F REDINPUT
   /sbin/iptables -F REDFORWARD
   /sbin/iptables -t nat -F REDNAT

   # PPPoE / PPTP Device
   if [ "$IFACE" != "" ]; then
      # PPPoE / PPTP
      if [ "$DEVICE" != "" ]; then
         /sbin/iptables -A REDINPUT -i $DEVICE -j ACCEPT
      fi
      if [ "$RED_TYPE" == "PPTP" -o "$RED_TYPE" == "PPPOE" ]; then
         if [ "$RED_DEV" != "" ]; then
            /sbin/iptables -A REDINPUT -i $RED_DEV -j ACCEPT
         fi
      fi
   fi

   # PPTP over DHCP
   if [ "$DEVICE" != "" -a "$TYPE" == "PPTP" -a "$METHOD" == "DHCP" ]; then
      /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $DEVICE -j ACCEPT
      /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $DEVICE -j ACCEPT
   fi

   # Orange pinholes
   if [ "$ORANGE_DEV" != "" ]; then
      # This rule enables a host on ORANGE network to connect to the outside
      # (only if we have a red connection)
      if [ "$IFACE" != "" ]; then
         /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p tcp -o $IFACE -j ACCEPT
         /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p udp -o $IFACE -j ACCEPT
      fi
   fi

   if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then
      # DHCP
      if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" ]; then
         /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
         /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
      fi
      if [ "$METHOD" == "DHCP"  -a "$PROTOCOL" == "RFC1483" ]; then
         /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
         /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
      fi

      # Outgoing masquerading
      /sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE

   fi
}

# See how we were called.
case "$1" in
  start)
   iptables_init

   # Limit Packets- helps reduce dos/syn attacks
   /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec

   # Fix for braindead ISP's
   /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

   # CUSTOM chains, can be used by the users themselves
   /sbin/iptables -N CUSTOMINPUT
   /sbin/iptables -A INPUT -j CUSTOMINPUT
   /sbin/iptables -N CUSTOMFORWARD
   /sbin/iptables -A FORWARD -j CUSTOMFORWARD
   /sbin/iptables -N CUSTOMOUTPUT
   /sbin/iptables -A OUTPUT -j CUSTOMOUTPUT
   /sbin/iptables -t nat -N CUSTOMPREROUTING
   /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING
   /sbin/iptables -t nat -N CUSTOMPOSTROUTING
   /sbin/iptables -t nat -A POSTROUTING -j CUSTOMPOSTROUTING

   # filtering from GUI
   /sbin/iptables -N GUIINPUT
   /sbin/iptables -A INPUT -j GUIINPUT

   # Accept everything connected
   /sbin/iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
   /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

   # localhost and ethernet.
   /sbin/iptables -A INPUT   -i lo          -m state --state NEW -j ACCEPT
   /sbin/iptables -A INPUT   -s 127.0.0.0/8 -m state --state NEW -j DROP   # Loopback not on lo
   /sbin/iptables -A INPUT   -d 127.0.0.0/8 -m state --state NEW -j DROP
   /sbin/iptables -A FORWARD -i lo          -m state --state NEW -j ACCEPT
   /sbin/iptables -A FORWARD -s 127.0.0.0/8 -m state --state NEW -j DROP
   /sbin/iptables -A FORWARD -d 127.0.0.0/8 -m state --state NEW -j DROP
   /sbin/iptables -A INPUT   -i $GREEN_DEV  -m state --state NEW -j ACCEPT -p ! icmp
   /sbin/iptables -A FORWARD -i $GREEN_DEV  -m state --state NEW -j ACCEPT
   /sbin/iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j ACCEPT
       /sbin/iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j ACCEPT

   # If a host on orange tries to initiate a connection to IPCop's red IP and
   # the connection gets DNATed back through a port forward to a server on orange
   # we end up with orange -> orange traffic passing through IPCop
   [ "$ORANGE_DEV" != "" ] && /sbin/iptables -A FORWARD -i $ORANGE_DEV -o $ORANGE_DEV -m state --state NEW -j ACCEPT

   # accept all traffic from ipsec interfaces
   /sbin/iptables -A INPUT   -i ipsec+ -j ACCEPT
   /sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT

   # allow DHCP on BLUE to be turned on/off
   /sbin/iptables -N DHCPBLUEINPUT
   /sbin/iptables -A INPUT -j DHCPBLUEINPUT

   # IPSec chains
   /sbin/iptables -N IPSECRED
   /sbin/iptables -A INPUT -j IPSECRED
   /sbin/iptables -N IPSECBLUE
   /sbin/iptables -A INPUT -j IPSECBLUE

   # WIRELESS chains
   /sbin/iptables -N WIRELESSINPUT
   /sbin/iptables -A INPUT -m state --state NEW -j WIRELESSINPUT
   /sbin/iptables -N WIRELESSFORWARD
   /sbin/iptables -A FORWARD -m state --state NEW -j WIRELESSFORWARD

   # RED chain, used for the red interface
   /sbin/iptables -N REDINPUT
   /sbin/iptables -A INPUT -j REDINPUT
   /sbin/iptables -N REDFORWARD
   /sbin/iptables -A FORWARD -j REDFORWARD
   /sbin/iptables -t nat -N REDNAT
   /sbin/iptables -t nat -A POSTROUTING -j REDNAT

   iptables_red

   # DMZ pinhole chain.  setdmzholes setuid prog adds rules here to allow
   # ORANGE to talk to GREEN / BLUE.
   /sbin/iptables -N DMZHOLES
   if [ "$ORANGE_DEV" != "" ]; then
      /sbin/iptables -A FORWARD -i $ORANGE_DEV -m state --state NEW -j DMZHOLES
   fi

   # XTACCESS chain, used for external access
   /sbin/iptables -N XTACCESS
   /sbin/iptables -A INPUT -m state --state NEW -j XTACCESS

   # PORTFWACCESS chain, used for portforwarding
   /sbin/iptables -N PORTFWACCESS
   /sbin/iptables -A FORWARD -m state --state NEW -j PORTFWACCESS

   # Custom prerouting chains (for transparent proxy and port forwarding)
   /sbin/iptables -t nat -N SQUID
   /sbin/iptables -t nat -A PREROUTING -j SQUID
   /sbin/iptables -t nat -N PORTFW
   /sbin/iptables -t nat -A PREROUTING -j PORTFW


   # Custom mangle chain (for port fowarding)
   /sbin/iptables -t mangle -N PORTFWMANGLE
   /sbin/iptables -t mangle -A PREROUTING -j PORTFWMANGLE

   # Postrouting rules (for port forwarding)
   /sbin/iptables -t nat -A POSTROUTING -m mark --mark 1 -j SNAT \
    --to-source $GREEN_ADDRESS
   if [ "$BLUE_DEV" != "" ]; then
      /sbin/iptables -t nat -A POSTROUTING -m mark --mark 2 -j SNAT --to-source $BLUE_ADDRESS
   fi
   if [ "$ORANGE_DEV" != "" ]; then
      /sbin/iptables -t nat -A POSTROUTING -m mark --mark 3 -j SNAT --to-source $ORANGE_ADDRESS
   fi


   # run local firewall configuration, if present
   if [ -x /etc/rc.d/rc.firewall.local ]; then
      /etc/rc.d/rc.firewall.local start
   fi
   
   # last rule in input and forward chain is for logging.
   /sbin/iptables -A INPUT   -m limit --limit 10/minute -j LOG --log-prefix "INPUT "
   /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "
        ;;
  stop)
   iptables_init
   # Accept everyting connected
   /sbin/iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT

   # localhost and ethernet.
   /sbin/iptables -A INPUT -i lo -j ACCEPT
   /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT

   if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" ]; then
      /sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
      /sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
   fi
   if [ "$PROTOCOL" == "RFC1483" -a "$METHOD" == "DHCP" ]; then
      /sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
      /sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT
   fi

   # run local firewall configuration, if present
   if [ -x /etc/rc.d/rc.firewall.local ]; then
      /etc/rc.d/rc.firewall.local stop
   fi

   /sbin/iptables -A INPUT   -m limit --limit 10/minute -j LOG --log-prefix "INPUT "
   /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT "
        ;;
  reload)
   iptables_red

   # run local firewall configuration, if present
   if [ -x /etc/rc.d/rc.firewall.local ]; then
      /etc/rc.d/rc.firewall.local reload
   fi
   ;;
  restart)
   $0 stop
   $0 start
   ;;
  *)
        echo "Usage: $0 {start|stop|reload|restart}"
        exit 1
   ;;
esac

exit 0


Moi j'ai rajouté mes lignes ici :

Code: Tout sélectionner
# localhost and ethernet.
   /sbin/iptables -A INPUT   -i lo          -m state --state NEW -j ACCEPT
   /sbin/iptables -A INPUT   -s 127.0.0.0/8 -m state --state NEW -j DROP   # Loopback not on lo
   /sbin/iptables -A INPUT   -d 127.0.0.0/8 -m state --state NEW -j DROP
   /sbin/iptables -A FORWARD -i lo          -m state --state NEW -j ACCEPT
   /sbin/iptables -A FORWARD -s 127.0.0.0/8 -m state --state NEW -j DROP
   /sbin/iptables -A FORWARD -d 127.0.0.0/8 -m state --state NEW -j DROP
   /sbin/iptables -A INPUT   -i $GREEN_DEV  -m state --state NEW -j ACCEPT -p ! icmp
   /sbin/iptables -A FORWARD -i $GREEN_DEV  -m state --state NEW -j ACCEPT
   /sbin/iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j ACCEPT
                /sbin/iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j ACCEPT
   /sbin/iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j ACCEPT


merci :lol: d'avance de votre aide!!!

PS: si vous desirez vois certains fichiers pour verifier demander
sharkattack
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 11 Fév 2005 16:47

Messagepar kinkey » 29 Nov 2005 12:57

oula malheureux j'y connais pas grand chose en règle iptable, mais si tu authorise les ports netbios c'est la porte ouverte à toute les fenetres :(

Perso j'utilise les vpn mais en clients nomade et je n'ai ouvert aucun port pour gérer la résolution netbios. Je suis passé par un wins (win98 oblige) :(
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar sharkattack » 29 Nov 2005 14:34

Je n'ouvre les ports que pour le VPN ipsec0 c'est tout

Je ne sais pas parametre un Wins hélas :? et je n'ai plus de 98 j'ai 50% de 2000 Pro et 50% de XP
sharkattack
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 11 Fév 2005 16:47

Messagepar foxgnome » 29 Nov 2005 20:15

Bonjour,
Juste une remarque, si tu peux pinguer la machine, dans l'explorateur windows tu vas dans "Outils-->Connecter un lecteur réseau" et là tu indiques l'adresse_ip\nom_de_partage et c'est términé, moi aussi je vois rien dans voisinage réseau :)
Qui sait partage :-) Net -- C-BOX( sagem f@st 3302 ) -- ipcop1.4.10-RED-GREEN-ORANGE ( P 133 ) -- --DMZ(SME couplé à SPIP) ;-)
Avatar de l’utilisateur
foxgnome
Aspirant
Aspirant
 
Messages: 122
Inscrit le: 17 Sep 2003 00:00
Localisation: Paris

Messagepar sharkattack » 30 Nov 2005 09:05

merci mais il ne faut pas que je puisse seulement pinger dessus, mais il faut aussi qu'elles apparaissent dans le voisinage réseau car j'ai un logiciel de gestion parc "Ideal administration". Lorsque les machines n'apparaissent pas, il ne les voit pas :? .

Voila pourquoi je desire qu'elles soient visibles dans le voisinage réseau.

Je viens de tester la methode cela a marché hier au bout d'1/4 d'heure, le temps que les pcs fassent le tour du reseau. Et la ce matin plus rien dans le voisinage réseau. Je vais encore attendre un peu car je fais rebooter mes ipcop. Donc il faut repatienter ...
sharkattack
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 11 Fév 2005 16:47

Messagepar sharkattack » 01 Déc 2005 09:08

Et bien apres une journée de test, le voisinage réseau ne s'etoffe pas plus :? malheureusement. Personne aurait une chtite idée pour faire fonctionner mon voisinage a travers le VPN?
sharkattack
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 11 Fév 2005 16:47

Messagepar kinkey » 01 Déc 2005 09:43

En théorie NetBios ne sait pas traverser des routeurs. J'ai entendu parlé de l'utilisation de DNS mais la personne m'a dit qu'il fallait en mettre un de chaque côté et qu'il soit synchronisés.
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar jdh » 01 Déc 2005 11:29

C'est curieux la permanence de certaines erreurs de compréhension :

- Netbeui est un protocole "RESEAU" (aka "TRANSPORT") (comparable à TCP/IP, IPX/SPX ou LLC). Il n'est pas routable au contraire de TCP/IP et est donc strictement limité au réseau local (sauf astuce !) et n'est plus le protocole réseau par défaut de Microsoft depuis Windows 95 (24 aout 1995 !).

- Netbios est un protocole "APPLICATIF" destiné à faire connaitre les ressources dans un réseau Windows. Il fonctionne soit par broadcast (donc limité au réseau local) soit à l'aide de serveur (ou plutôt service) appelé "serveur Wins", soit encore à l'aide de tables (les fameux fichier LMHOSTS). Depuis Windows 2K (et ActiveDIR), Microsoft a créé un système de localisation des ressources basé sur DNS (le système de nom de TCP/IP).

Par voie de conséquence, il est toujours difficile de trouver les ressources (aka d'utiliser la syntaxe \\(nom NETBIOS)\) au travers de réseaux multiples (VPN ou réseau privé). Avec Windows NT, il était presque indispensable de placer un BDC dans chaque réseau et d'activer Wins entre eux. Avec Windows 2K, je pense qu'on peut agir de même : que faire dans un réseau (même distant) sans un serveur ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar sharkattack » 01 Déc 2005 11:37

Merci jdh meme si ta réponse aurait pu etre plus amical. mais rien ne m'epate maintenant.
sharkattack
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 11 Fév 2005 16:47


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité