[résolu] Transfert port merci de votre Aide

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[résolu] Transfert port merci de votre Aide

Messagepar welcome » 26 Jan 2006 23:33

Bonjour à tous,

J'utilise Ipcop en entreprise depuis 3 ans maintenant,
je suis pour l'instant en version 1.4.6 et je n'ai pas de problème.
Déjà au mois de décembre et dernièrement j'ai voulu faire la mise à jour en 1.4.10 mais
à chaque fois que je passe sur cette version mes transfert de port ne fonctionne plus alors
que sur la 1.4.6 tout est ok.
Quels changements y a t'il eut entre ces versions.
Je ne peux pas trop faire d'essai car je suis obligé de les faire le samedi.
Nmap me confirme bien que ces ports sont fermés malgrés des régles identiques à la 1.4.6
Il y a un transfert de toutes les adresses entrantes vers une IP orange port 443 vers 443 (webmail)
Il y a un transfert de toutes les adresses entrantes vers une IP verte (je sais celui-la n'est pas terrible) port 25 vers 25 (postfix).

Merci beaucoup pour vos éclaircissements.
Dernière édition par welcome le 30 Jan 2006 16:06, édité 1 fois au total.
Avatar de l’utilisateur
welcome
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 10 Fév 2004 01:00

Messagepar Franck78 » 27 Jan 2006 01:19

Salut,
Ils fonctionnent encore et très bien, sinon ca se serait su dès la sortie de 1.4.10.
Je pense que tu appliques un a un les patchs pour faire le saut .6 a .10 Peut être y-t-il un reboot manquant dans les manips.
Ou alors tu utilises la restauration pour passer de .6 à .10 et encore une fois un problème. En gros faut pas perdre de temps avec ça.

-Ou tu essaies la méthode un ci tu ne l'as pas fait.
-Ou tu fais comme d'hab et tu détruit récrée tes deux transferts de ports
-Ou tu réinstalles entièrement ton IPCop.

Tu ne dis rien a propos des logs. TU y a jeté un œil au moins?

En dernier, tu peux m'envoyer ton backup non crypté.


bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar welcome » 27 Jan 2006 10:41

Salut,

-J'ai fait l'essai avec les patchs de la .6 à .10 donc là problème.
-J'ai donc fait une réinstalle compléte et la toujours problème et effectivement j'ai fait une restauration.
-J'ai essayé de détruite les deux ports puis de les recréer toujours sans succès.
-les logs ipcop m'indique bien la suppression et création de mes règles et le redémarrage

Logs que je ne sais pas interpréter (quel fichier log doit-je regardais?)

INPUT IN=eth2 OUT= MAC=00:00:21:fc:3a:1d:00:00:c5:a6:82:88:08:00 SRC=193.250.xxx.xxx DST=213.xxx.xxx.xxxLEN=40 TOS=0x00 PREC=0x00 TTL=41 ID=51891 PROTO=TCP SPT=6 0893 DPT=25 WINDOW=2048 RES=0x00 SYN URGP=0

TCP Scan? IN=eth2 OUT= MAC=00:00:21:fc:3a:1d:00:00:c5:a6:82:88:08:00 SRC=193.248 .xxx.xxx DST=213.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=30398 PROTO=TCP SPT=61292 DPT=25 WINDOW=2048 RES=0x00 URG PSH FIN URGP=0

J'ai créé un deuxième pc avec les mêmes paramètres pour pouvoir faire des tests les résultats sont identique mais j'ai encore une fois utilisé la restauration, je vais donc essayer de faire une réinstalle sans la restauration.

Sinon comme Addons j'utilise ton excellent SquidGuard, Advanced Proxy et depuis peu OpenVpn.(test)

A ce propos avant j'utilisais Ipsec pour des postes nomades et je teste OpenVpn qui est moins restrictif au niveau des routeurs et aussi plus facile a mettre en place sur les nomades grâce à OpenVpn GUI qui
permet de lancer des bat permettant par exemple de mapper des lecteurs réseaux et surtout de créer un sous-réseaux plus facile à administrer. Pour Ipsec (ebootis sur client xp) j'ai créer des scripts bat de connexion permettant de mapper les lecteurs réseaux et aussi d'avoir le client en profil 'utilisateur avec pouvoir' en utilisant runas et cela fonctionne bien car j'ai des personnes qui travaille a distance (8h/jour sur 4 jours) et en 2 ans les seuls soucis étaient dut a la liaison Internet du client.
Donc ma question a propos du VPN est: Quel système est le plus sécurisé.

Pour mon Ipcop perso j'ai aussi monté un LCD qui fonctionne bien, mais cela fait un moment que je n'y est pas touché.

Bye et merci de ton aide.
Avatar de l’utilisateur
welcome
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 10 Fév 2004 01:00

Messagepar Franck78 » 27 Jan 2006 10:55

welcome a écrit:Salut,

Logs que je ne sais pas interpréter (quel fichier log doit-je regardais?)

INPUT IN=eth2 OUT= MAC=00:00:21:fc:3a:1d:00:00:c5:a6:82:88:08:00 SRC=193.250.xxx.xxx DST=213.xxx.xxx.xxxLEN=40 TOS=0x00 PREC=0x00 TTL=41 ID=51891 PROTO=TCP SPT=6 0893 DPT=25 WINDOW=2048 RES=0x00 SYN URGP=0

TCP Scan? IN=eth2 OUT= MAC=00:00:21:fc:3a:1d:00:00:c5:a6:82:88:08:00 SRC=193.248 .xxx.xxx DST=213.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=30398 PROTO=TCP SPT=61292 DPT=25 WINDOW=2048 RES=0x00 URG PSH FIN URGP=0


La chose évidente avec ce log est que le port 25 n'est pas 'transferé'. Il est dirigé vers l'IPCop lui même [INPUT], ce qui bien sur est faux (sauf si tu as installé ton smtp sur l'ipcop...).

Comme si tu avais aussi ajouter un accès externe :x

Cette explication colle bien avec ton problème, car, par définition, le transfert de port fonctionne, il ne reste qu'un mauvaise configuration.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar welcome » 27 Jan 2006 11:56

mon smtp se trouve sur Green (je sais pas terrible, mais il se trouve sur un serveur, qui me sert aussi pour samba), pour l'accès externe c'est possible car lors des scans j'ai fait different essai dont certain en activant l'accès externe, mais normalement il n'y a que le 113 comme d'origine.
D'ou peut venir cette mauvaise config. ?
Je suis en train de réinstaller sans restauration, j'espére avoir le temps de finir aujourd'hui car j'ai peut de temps.
Pour le vpn les certificats seront t'il toujours valide si je fait seulement une copie.
Avatar de l’utilisateur
welcome
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 10 Fév 2004 01:00

Messagepar welcome » 30 Jan 2006 16:11

Salut,

Le problème venait bien de la restauration.
En faisant les mise à jour de la .06 à la .10 et en appliquant un reboot entre chaque j'ai retrouvé le problème.
Solutions: Réinstall compléte et reconfiguration manuelle.


Merci à toi Franck78
Avatar de l’utilisateur
welcome
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 10 Fév 2004 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron