Carte reseau BLUE en 2e GREEN

[xandre]

Bonjour,
Existe t il un tuto pour faire cette manip ?
Etant newbie avec Ipcop (et surtout Iptables) je ne trouve pas d'info a ma portée pour faire ce genre de chose.

Ma config :

Un PC Win xp avec 3 cartes reseau pour se brancher sur green, blue et red. Cartes que je desactive selon les besoins de test. (désolé mais je ne peux pas faire autrement, je n'ai pas d'autres pc dispos).

Orange
|
Green----- Ipcop ----- Red---Routeur Cisco-> Web
Bue-------

Je precise : ce n'est pas un reseau en production. C'est un reseau de test sur un reseau de production qui lui est considéré comme reseau Red (parce que il permet la connexion a Internet). Dans ce reseau "Red" se situe un serveur de domaine Windows.

Le routeur Cisco ne m'est pas accessible.
Le reseau Orange n'existe pas pour l'instant mais est prévu.

J'ai beaucoup de mal a comprendre comment fonctionne le firewall avec toutes ces variables declarees dans d'autres fichiers.

J'ai bien essayé d'installer BlockOut Traffic mais ca me bloque plus encore. C'est le but je sais mais je n'arrive pas a passer les regles adequates. Donc je me dis qu'en les passant a la main ca irait ptete mieux... ou ce serait moins pire

Dois je modifier le rc.network ? rc.firewall ? rc.firewall.local ? un autre fichier ?
Et quelles sont les regles Iptables a passer et dans quels fichiers ?

Sachant que dans un premier temps,
de Blue je voudrais acceder au serveur windows compris dans la zone Red pour l'authentification au domaine et l'acces a mes fichiers.
Si cela n'est pas possible a cause de la config du reseau Red, je peux modifier ma config de test et faire en sorte que le serveur sur RED soit sur le reseau GREEN.
Donc cela deviendrait : de BLUE, s'authentifier sur le serveur windows sur GREEN. Et c'est TOUT. Il me faut seulement acceder au serveur. L'acces aux autres clients n'est pas voulu. Et bien sur de BLUE pouvoir sortir sur Internet par le reseau RED.

Je sais que j'en demande beaucoup...

Merci d'avance pour vos reponses.

[xandre]

Bon, j'ai trouvé une manip perdue dans les fin fonds de ce forum.

Grace a ces lignes entrées dans le fichier rc.network :

# Transforme la carte bleu en deuxième carte verte
# Permet de désactiver laccès par couple adresse ip / adresse mac
if [ "$BLUE_DEV" != "" ]; then
echo "Setting up wireless firewall rules"
# /usr/local/bin/restartwireless
/sbin/iptables -A WIRELESSINPUT -s IP_BLEU/NETMASK -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A WIRELESSFORWARD -s IP_BLEU/NETMASK -i $BLUE_DEV -o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A WIRELESSFORWARD -s IP_BLEU/NETMASK -i $BLUE_DEV -j DMZHOLES
fi

Mon reseau BLUE est un clone de GREEN sauf qu'il ne peut aller sur GREEN.
C'est tres bien. J'avance, j'avance...

Cherchant la petite bete et parce que le reseau est ainsi fait : mon serveur de domaine windows 2003 est sur le reseau GREEN.
Comment faire pour que les postes du reseau BLUE modifié puissent accéder à ce serveur et UNIQUEMENT a lui ?

[micjack]

En toute logique en inverssant les interfaces $BLUE_DEV et $GREEN_DEV dans les mêmes régles, cela devrait le faire, puisque cela passe d'un coté...

[xandre]

Et précisément ca donne quoi ?
A quoi ressebleraient les regles ?
Désolé d'etre demandeur a ce point.
Iptables n'est pas un concept facile a apprehender.

[micjack]

Et précisément ca donne quoi ?

C'est juste une idée de logique (c'est la premiere chose que je ferais si je n'y connaitrais rien)

Mais bon, je n'utilise pas IPCop, c'est juste une idée jetée à la va vite

[xandre]

J'ai trouvé ce topic qui répond certainement à ma question :

http://forums.fr.ixus.net/viewtopic.php ... blue+green

Je donne le lien pour ceux que ca intéresse. Car c'est une question qui revient tres souvent.

[xandre]

Résultat des courses j'ai essayé les deux méthodes décrites dans le topic et je n'arrive a rien.
Je ne comprends pas.

La seule chose que j'obtiens est l'acces au web sans avoir a indiquer l'adresse Mac des postes sur le reseau bleu.

Je repose mon problème :
J'aimerais que des postes sur le reseau bleu puissent acceder au web (ca c'est reussi) mais aussi a un serveur sur le reseau vert et UNIQUEMENT a lui.

Schema :

poste 10.8.18.2
|
|Blue
|
[10.8.18.1]
IPCOP [10.8.20.1] -- GREEN --- serveur [10.8.20.5]
[10.8.19.1]
|
| Red
|
Routeur cisco
|
WEB


Une ame charitable pourra t elle me renseigner ?

[xandre]

Bon je continue mon bonhomme de chemin tout seul.

Alors voila les infos que j'ai recupéré :

A l'initialisation de Ipcop :
1) Démarrage de la machine puis

2) Activation du reseau
fichier /etc/rc.d/rc.network

3) Activation du firewall
fichiers
/etc/rc.d/rc.firewall qui appelle /etc/rc.d/rc.firewall.local

J'en ai eu marre de redemarrer Ipcop comme si c'etait un windows 9x
Les commandes qui vont bien :

redemarrer le reseau :
/etc/rc.d/rc.network restart
(cela relancera aussi le firewall)

redemarrer le firewall :
/etc/rc.d/rc.firewall restart

Voila en esperant que ca aidera les autres newbs comme moi.

[xandre]

Bon y a un truc !
Je ne m'en sors pas.

J'y suis allé comme un barbare j'ai flushé (rmises a zéro) toutes ces regles :
input
output
forward
wirelessforward
wirelessinput

Et j'ai mis "accept" en guise de politique par defaut. Bonjour la sécurité je sais mais il y a un moment ou faut arreter la finesse et eclater tout ce qui gene.

POurtant rien ne passe de l'interface bleue vers l'interface verte.

Y a t il une autre regle ?

Je vais voir du coté de DMZHOLES en attendant une aide eventuelle...

[m2nis]

Y a t il une autre regle ?

J'ai utilisé le fichier /etc/rc.d/rc.firewall.local pour gérer mes règles jusqu'à la mise en place de blue en 2nd green. Puis je me suis résolu à utiliser BOT, et passée la découverte de cette nouvelle interface, je n'ai pas regretté.

Mais, pour résumer et essayé de donner un possible aiguillage, si blue->vert ou l'inverse ne passe pas, il n'y a normalement pas énormément de possibilités: le pare-feu bloque le trafic et on doit retrouver des traces dans les logs, ou une des deux machines n'a pas le bon chemin, ou une des deux machines à un pare-feu individuel qui n'est pas désactivé.