Zone RED bloquée vers le server Web en Zone Orange, pourquoi

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Zone RED bloquée vers le server Web en Zone Orange, pourquoi

Messagepar fox_a_poil_mou » 17 Mai 2006 20:22

Bien le bonsoir,


apres quelque heur de recherche (touche a tout) et quelque heur de recherche sur le forum pour trouvé une solution, apres un paquet et demi de clop, et quelque cheveu en moin, ... rien a faire ...


pourtant, je suis sur que c'est vraiment un petit détail tres stupide ...



mon probleme, inposible a partir de la zone RED d acceder a la Zone ORANGE ou du moin au Serveur_Web si trouvant

voici mon réseau :

Zone RED : IP Dynamic ; 192.168.A.XXX (distribuée par un routeur)

-------------> Routeur : 192.168.A.A
-------------> Pc_1 : 192.168.A.XXX

Zone ORANGE : IP FIXE 192.168.B.A

-------------> Serveur_Web : 192.168.B.B

Zone VERT : IP : 192.168.C.A

------------->Pc_2 : 192.168.C.B


la Zone RED a un acces au Web. et toute les plages d adresse sont sur 255.255.255.0


de la zone Vert avec le PC_2 je peux :
- SURFER SUR LA ZONE RED (ex: http://www.Google.be)
- SURFER SUR LE SERVEUR WEB DANS LA ZONE ORANGE (serveur WEB)
- SURFER SUR LE SERVEUR WEB DANS LA ZONE ORANGE VIA l'IP D IPCOP ( IP COP)

de la zone Orange avec le serveur je peux :
- SURFER SUR LA ZONE RED ( ex: http://www.google.be )

de la Zone RED avec le PC_1 je NE PEUX PAS :
-SURFER SUR LA ZONE ORANGE


qu'est ce que je fais pour surfer a partir de la Zone RED a la Zone Orange ? je fais la demande suivante : http://192.168.A.XXX ( l ip du server ipcop)



RPV ----------------------------------------------------- Arrêté
Serveur CRON ----------------------------------------- En fonction
Serveur DHCP ----------------------------------------- En fonction
Serveur DNS mandataire (proxy DNS) ------------- En fonction
Serveur NTP ------------------------------------------- Arrêté
Serveur Web ------------------------------------------- En fonction
Serveur d'accès à distance sécurisé (SSH) --------- Arrêté
Serveur d'enregistrement de journaux -------------- En fonction
Serveur d'enregistrement des journaux du noyau - En fonction
Serveur mandataire (proxy) ------------------------- Arrêté
Système de détection d'intrusions (GREEN) -------- Arrêté
Système de détection d'intrusions (ORANGE) ------ Arrêté
Système de détection d'intrusions (RED) ----------- En fonction



TRANSFERS DE PORT : TCP DEFAULT IP : 80(HTTP) >> 192.168.B.B : 80(HTTP) ... (IP SERVER WEB)
ACCES EXTERNES : TCP TOUT >> DEFAULT IP 80


qu'est ce que vous en pensez ?
pour moi, c'est un simple probleme d acces ...



Bien a vous, Pierre






(j espere que je n'ai pas été trop compliqué dans mes explications)
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Messagepar erreipnaej » 17 Mai 2006 21:36

Bonsoir,

Enléves l'accés externe sur le port 80.
Les accés externes servent à se connecter sur IpCop depuis le net. Par exemple pour l'administrer en https ou en ssh depuis l'extérieur.
Donc tu a un doublon et IpCop ne doit pas savoir quoi faire, je pense.
Il te suffit juste de faire le transfert du port 80 vers l'IP du serveur sur le orange.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar fox_a_poil_mou » 17 Mai 2006 21:49

merci d avoir répondu si vite,


mais apparament, ca ne change rien ... donc, j'ai suprimer tout ce qui ce trouvait dans la liste des acces externes.


et je n'arrive toujours pas a me connecter via la Zone Rouge. par contre via la Zone Vert, pas de probleme.



Merci d avance pour votre soutien ...



PS, je vais franchire le 2eme paquet de clops :-D
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Messagepar erreipnaej » 17 Mai 2006 22:08

Re,

Attention faire Vert > Rouge > Orange n'est pas possible par le nom de domaine.
Il faut le faire par l'IP orange du serveur.
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar fox_a_poil_mou » 17 Mai 2006 22:21

je n'ai pas compris ...


si tu dis de rentrer l adresse ip a la place du nom de machine ou de domaine ... oui, c'est ce que je fais.



:)
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Messagepar fox_a_poil_mou » 17 Mai 2006 23:09

oui, pour moi, ca ne peut etre qu'un probleme d acces avec la zone Red ...


car, de la zone Vert, quand j'ouvre IE avec l'IP la carte réseau en Zone Red, je tombe bien sur mon serveur Web.

quand je rajoute a cette ip le protocol httpS et le port 445 je réussi aussi a me connecter ...
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Messagepar fox_a_poil_mou » 17 Mai 2006 23:50

je suis quand meme pas fou, c'est bien un protocol TCP et pas UDP et encore moin GRE !!!


bien, j'ai perdu assez de cheveux et n'ai plus de clops ... et puis on dit toujour que la nuit porte conseil ...



Merci d'avance de votre aide et soutien
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Messagepar Haldan » 18 Mai 2006 00:38

fox_a_poil_mou a écrit:oui, pour moi, ca ne peut etre qu'un probleme d acces avec la zone Red ...


car, de la zone Vert, quand j'ouvre IE avec l'IP la carte réseau en Zone Red, je tombe bien sur mon serveur Web.

quand je rajoute a cette ip le protocol httpS et le port 445 je réussi aussi a me connecter ...


Normal... quand tu essayes de te connecter sur la zone rouge de ton IPCop en interne, il redirige directement en interne, c'est comme si il ne sortait pas...
Cà a un nom technique à l'anglaise et c'est pour des raisons de sécurité... Les pros t'en parleront bien mieux que moi

Pour le reste... ben... bonne chance :D
Avatar de l’utilisateur
Haldan
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 07 Nov 2003 01:00

Messagepar fox_a_poil_mou » 18 Mai 2006 01:04

je ne pense pas ... car quand je dis que je me connecte, je m y connecte ... car, sur ma zone rouge ce trouve un routeur et c'est en me connectant sur ce routeur que je fais le teste !

enfin, si c'est bien ca que tu me dis ... (suis fatigé :p)
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Messagepar erreipnaej » 18 Mai 2006 08:26

Bonjour,

Fais un dessin de ton réseau, car ça me semble bien compliqué.
Je ne vois pas ce que viens faire un firewall derriére ton routeur si des machines sont déja là...
@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar fox_a_poil_mou » 18 Mai 2006 15:55

c'est pour moi tester ... mais je fais ca de suite !
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Messagepar fox_a_poil_mou » 18 Mai 2006 16:08

voici,

donc, sur le Pc_Test_1 je ne vois pas le server web en zone Orange
sur le Pc_Test_2 je vois le server web en zone Orange

Image


J utilise le Pc test 1 pour tester si c'est ok les connexion sur le server Web a partire de la zone Rouge !
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Messagepar miltone » 18 Mai 2006 18:26

Salut,

très beau schéma, il me semble que l'antisoopfing de base de ipcop ne permet pas de faire cela sur le dmz.

D'autre part je ne vois pas très bien la présence du pc en red même pour un test ?? ou je me trompe !

Pourrait tu nous dire comment est configurer ton port forwarding sur le routeur et sur ipcop stp.

Bon courage.
miltone
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 29 Mars 2006 21:17

Messagepar erreipnaej » 18 Mai 2006 19:26

Bonjour,

J'ai l'impression que ton PC test 1 ne peut pas voir le sous réseau en 192.168.10.0 car il ne connait pas la route. Ton IpCop en 192.168.1.1 ne peut être sa passerelle ou son DNS.
Tu peux vérifier la route qu'il prend avec une commande style
Code: Tout sélectionner
tracert tondomaine.web

Ayant eu un serveur web en test à une époque sur mon orange, j'utilisais des sites tels http://www.anonymizer.com/consumer/prod ... s_surfing/ (en haut à droite) pour pouvoir rentrer par mon red depuis mon green (Attention chez Free, ça marche pas).
Si tu veux tu me donnes ton nom de domaine par MP et je te teste la bonne accessibilité de ton site.
Sinon depuis ton green en tapant http://192.168.10.2/index.htm, tu devrais arriver sur ton site.
Tu peux arriver par le nom de domaine si tu renseignes le fichier hosts de toutes les machines du green avec
Code: Tout sélectionner
192.168.10.2 tondomaine.web

@+
Un problème sans solution est un problème mal posé. A Einstein
IpCop 1.4.11 Red/Green/Orange Addon IptStat/Copfilter/OpenVpn
Que la Freebox soit bannie, back to Wanadoo
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise

Messagepar fox_a_poil_mou » 18 Mai 2006 19:27

Bien, cette config est pour le moment en test, je l'implémenterai complètement une fois en ordre ! Une fois en ordre, la zone Rouge sera en direct avec le modem !

problème, comment savoir si les sites héberger ne sont pas accessible, je retourne sous ma config précédente (avec Microsoft ISA serveur 2004)



Pour ce qui est du forwarding (redirection de port si j'ai bien compris)

- mon routeur n'est pas utilisé comme tel mais tout simplement comme un HUB (j’aurais du le préciser :roll: ) soit,
- pour ce qui est du serveur IPCOP, si je ne me trompe le forwarding le "transfère de port" dans "pare-feu" la config est la suivante ;
Code: Tout sélectionner
TCP DEFAULT IP : 80(HTTP) >>  192.168.10.2 : 80(HTTP)





MERCI BEAUCOUP DE VOS IDEES OU PROPOSITION !!! :!: :!: :!:
fox_a_poil_mou
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 17 Mai 2006 06:29
Localisation: Ath Belgique

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron