Resolu[IPCOP->MS EXCHANGE]passer au travers d'IPCOP

[poyo77]

bonjour à tous,
je viens tout juste d'installer un serveur IPCOP dans le cyberespace que j'administre... une délivrance!
Toutefois, j'ai un soucis majeur lié au réseau déja existant.
En fait, j'ai le schema suivant:

il faudrait que le PC1 et 2 puissent sortir vers le réseau red et se connecter au domaine + exchange.
c possible?
peut-etre faut-il s'y prendre différement.
En tout cas je peux pas les déconnecter du reseau green car il faut que je puisse communiquer avec les postes du reseau green et red...
si quelqu'un peut m'aider...
merci

NOTE: j'ai utilisé le tuto d'install ipcop + urlfilter + blockouttraffic avec les dernières versions actuelles
j'ai autoriseé any vers red pour les 2 adresses MAC de PC1 et 2 ... mais ça marche pas.

[Billou02]

NOTE: j'ai utilisé le tuto d'install ipcop + urlfilter + blockouttraffic avec les dernières versions actuelles
j'ai autoriseé any vers red pour les 2 adresses MAC de PC1 et 2 ... mais ça marche pas.

Salut, je serais toi, j'essaierai d'abord sans BOT et une fois que tu y arrives tu le mets en route.
je pense qu'il faut y aller étape par étape plutôt que tête baissée...

en gros de PC1 et PC2 tu dois être capable de pinguer voir d'aller sur la page de ton routeur.
au fait il est configuré comment ?

[poyo77]

merci pour ta réponse rapide...
en fait j'avai déjà essayé de désactiver BOT... mais ça ne change rien...
en fait, comme IPCOP est en mode transparent, il faut peut être que ce soit lui qui communique avec le domaine (windows 2003 server) et l'exchange... car du coup, avec cette installation tout est filtré et relayé par IPCOP.
Donc ma question est la suivante:
Est-ce qu'IPCOP sait se connecter à un domaine?
merci pour vos eclaircissements...

[loberty]

Bonjour,

A tu tenté de sniffer ce qui passait de chaque côté ?
Cela te permettra de voir ce qui pose problème.

Vérifies tes règles en entrées de IPCOP, c-a-d ADMINISTRATIF => CYBERSPACE.
Tu as dû oublier quelque chose.

As tu bien autoriser tout ce qui est NETBIOS ?

Chaque station de sous réseau a bien la passrelle de définie ?

Je me permet de voir que sur ton architecture tu n'a pas mis d'IPCOP pour protéger administratif.
C'est normal ?

Pour ma part, je verrais plutot 2 autres types d'architecture :
. cas 1 :
Un IPCOP en tête de chaque sous-réseaux, donc :
ROUTEUR = IPCOP_CYBERSPACE -- réseau CYBERSAPCE
= IPCOP_ADMINISTRATIF -- réseau ADMINISTRATIF
. cas 2 :
Un IPCOP sur le routeur et les 2 sous-réseaux connectés sur le même IPCOP, l'un sur GREEN, l'autre sur BLUE. Tu gère alors les règles de filtrage comme tu veux, c'est IPCOP qui fait tout.
Si les postes de CYBERSPACE doivent accéder à EXCHANGE, je te conseille alors fortement de mettre EXCHANGE sur la DMZ.

A+

[poyo77]

merci pour ces explications.
En effet, il n'y a pas d'ipcop sur administratif, car je suis en phase de test, et les machnies du cyberespace sont de mon ressort et moins ralleuses quand ça ne marche pas!
pour sniffer le réseau, va falloir que je me penche dessus...
par contre, en ce qui concerne netbios, je vais fouiller cela.
En fait, c'est surtout la connectivité IPCOP-Exchange qui m'interresse...
Est-ce que quelqu'un a déjà fait cela?
merci

[loberty]

Bonsoir

Pour sniffer le réseau, je t'invite à utiliser Ethereal.
Mais il y en a d'autres.

Pour la connectivité IPCOP <=> EXCHANGE cela n'existe pas.
Ce sont les postes clients qui se connectent eux-mêmes sur le serveur EXCHANGE.
Il y a donc des ports à ouvrir dans le sens IPCOP => EXCHANGE.
Les ports dépendent de la manière dont tes utilisateurs vont se connecter : cela peut être POP3 + SMTP, IMAP ou avec un client OUTLLOK (je ne parle pas de OUTLOOK EXPRESS qui fait SMTP, POP3 ou IMAP).

Pour IMAP, POP3 et SMTP c'est respectivement 143, 110 et 25, tout en TCP.
Pour outlook moi qui est un OUTLOOK 2000 + EXCHANGE 5.5 (pouffe c'est vieux !) les ports utiliser sont à priori 135, 1068 et 1081.
Pour les 2 derniers je ne sais pas si ce n'est pas dynamique.

A+

[poyo77]

merci pour ces precisions... je vais de ce pas mettre ça en application!
je vous tient au courant.

[poyo77]

bonjour,
je reviens tout juste d'une longue absence... et j'ai bien compris la problématique et je voudrai donc aboutir avec ce problème.... mais voila, comment mettre en application vos conseils?
Je me connecte à IPCOP et ensuite sur BOT et la je veux mettre les règles qui autorisent le traffic pour les échanges Outlook->exchange... mais je sais pas comment faire...
quelqu'un pourrait me guider pour ouvrir les ports 135, 1068 et 1081 de IPCOP vers exhange?
pour info je connais précisement l'adresse IP de mon serveur exchange.
De plus je voudrai que mes 2 machines puissent se connecter au domaine... (y'a des ports aussi?).
merci pour votre aide...

[yarglaheu]

Salut,

Sur les postes 1&2 ajoute en DNS principal l'adresse du serveur PDC et en DNS Secondaire l'adresse de l'IpCop. Essai sans BOT dans un premier temps. J'ai reussi avec cette methode à integer un domaine au travers d'une liaison VPN IpCop <-> IpCop.

[poyo77]

merci,
ça a marché... super!
bon pour la sécurité c'est moyen, pour compléter, si je veux activer BOT, il me faut quoi de plus?
sinon c nickel comme ça.
merci encore

[yarglaheu]

Re

Essai sans BOT dans un premier temps !!!

-> ça marche.
Tu réactive BOT. Ca ne vas plus passer (normalement), tu vas dan les journaux pour voir les ports utilisés (de memoire 135 137-138-139) et tu les ouvres pour les deux machines.

[poyo77]

ça marche nickel avec les ports indiqués...
problème résolu.
encore merci de votre aide.