Probleme DMZ ipcop 1.4.11 Pb ipcop 1.4.13

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Probleme DMZ ipcop 1.4.11 Pb ipcop 1.4.13

Messagepar sulimim » 12 Jan 2007 01:09

Bonjour

Ca fait un certain temps que je tourne en rond

La config reseau

RED --> IPCOP --> GREEN OK
|
|
DMZ Serveur pas possible de mettre a jour ( apt-get update )

RED Modem USB
GREEN sans dhcp 192.168.1.1 255.255.255.0 ( ca marche bien )
ORANGE 192.168.2.1 255.255.255.0 ( le serveur peut pas etre mis a jour )

Le serveur sur dmz 192.168.2.2 255.255.255.0
Gateway 192.168.2.1
Dns 192.168.2.1
Resolv conf 192.168.2.1

Pourquoi ca marche mon apt-get ( je bloque )

le ping de green au serveur sur dmz passe
le ping du serveur a ipcop passe
le ping de ipcop au serveur passe

J'ai beau lire toutes les docs je comprends pas

J'en suis qu'a l'install du serveur et ca commence par coincer


Et une autre question ( les acces externes , c'est pas clair )
Ca sert à quoi exactement ?

Moi qui voulait me monter un serveur ubuntu je suis pas foutu de le connecter au net

Merci de vos réponses


PS : Si si j'ai lu le newbie kit ( la doc sur le site d'ipcop aussi )

PS : J'utilise ipcop 1.4.11 avec advance proxy et urlfilter et bot mais qui n'est pas active pour l'instant

Est-ce que la 1.4.11 a un bug ?
Dernière édition par sulimim le 17 Jan 2007 01:47, édité 5 fois au total.
Avatar de l’utilisateur
sulimim
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 14 Déc 2005 00:02
Localisation: Vesoul - Haute saone - 70

Messagepar tuton » 12 Jan 2007 01:47

Salut...
D'abord comme ca je te conseil (mais ca peu être confirmé par quelqu'un de plus compétant...) d'installer le serveur dans le reseau green (sans ouvrir les ports), puis de le déplacer dans l'orange une fois fini.

Si tu restes en orange....
Essaie de faire un ping depuis ton serveur jusqu'à google.fr
si ca ca marche c'est que probablement apt-get est mal configuré.
Voila j'espere t'aider...

PS : les accès externe c'est pour red --> vers ipcop..
tuton
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 03 Déc 2004 15:33

Messagepar sulimim » 12 Jan 2007 02:07

Bonjour

je viens de mettre l'adresse dns de mon fai dans la configuration serveur dns de mon serveur perso en plus de l'adresse d'ipcop

Toujours pas de ping vers red

Apt-get toujours dans les choux

J'ai bien penser a mettre le serveur sur green le temps de la mise a jour

Mais apres ? je tiens pas a devoir le mettre sur le reseau green pour chaque mise a jour

Surtout qu'il vaut mieux qu'elles soient faites dans les temps les mises a jour

Donc je patauge encore
Pseudo sous skype : mimilus

Au fait je cherche du boulot mais ca court vite comme bestiole
Avatar de l’utilisateur
sulimim
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 14 Déc 2005 00:02
Localisation: Vesoul - Haute saone - 70

Messagepar sulimim » 12 Jan 2007 10:55

Bonjour

Je voudrais juste etre sur d'une chose, les PC sur la DMZ sont autorises à aller sur RED ou il faut modifier la config d'IPCOP ? , ne peuvent-ils faire que des réponses à des requetes depuis RED ?

Si oui que faut-il faire ?

Je tourne en rond !


Pour info le serveur sur la dmz est une ubuntu server , y a t'il des bugs ou un parametrage special a faire
Pseudo sous skype : mimilus

Au fait je cherche du boulot mais ca court vite comme bestiole
Avatar de l’utilisateur
sulimim
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 14 Déc 2005 00:02
Localisation: Vesoul - Haute saone - 70

Messagepar tuton » 12 Jan 2007 14:47

Normalement orange --> red est ouvert...

Ce n'était pas pour la mise à jours que je te disais de laisser le serveur en green. C'est que normalement, orange est moins protegé que green et comme le serveur n'est pas prêt securité etc... Je suppose que c'est mieux de le laisser dans le reseau le plus sûre au debut. Bref ce n'est qu'un avis pero. Mais il est certain que le serveur devrait être en mesure d'avoir accès à internet.
Tu as ipcop standard ou avec des addons?

Quand tu ping, tu ping vers un nom de dns ou une ip?
Le ping te renvoie quoi
ping: unknown host
ou quelque chose comme cela...
PING google.fr (216.239.59.104) 56(84) bytes of data.
Essai de pinger vers 66.249.93.104 qui une adresse de google.

C'est quoi le contenu de resolv.conf...
tuton
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 03 Déc 2004 15:33

Messagepar sulimim » 12 Jan 2007 16:57

Bonjour

Quand je pingue j'ai les messages avec "bytes of data ......."

Cela indique quoi , le chemin est HS , j'aurais un probleme de DNS ?


J'ai des addons

J'ai mis le pack pour les newbies ( sauf QOS , Copfilter , Open vpn et L7 ( d'ailleurs pas trop cherche son utilité ) )

Et j'ai mis a jour ceux que j'ai installé

BOT et pas encore activé ( j'ai demenage mon ipcop , reinstall totale )

Je n'ai pas active l'accelerateur de mises a jour

Squidgard je m'en sers que pour mettre mes listes a filtrer a jour et c'est tout , je le lance quand ca me prend.

Bref je comprends pas trop !

Sur mon serveur en zone orange l'adresse du serveur DNS doit etre celle d'ipcop ?
Ou celle du fournisseur du FAI ?

Vu que les ping passent , les cartes reseau sont en état .
Pseudo sous skype : mimilus

Au fait je cherche du boulot mais ca court vite comme bestiole
Avatar de l’utilisateur
sulimim
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 14 Déc 2005 00:02
Localisation: Vesoul - Haute saone - 70

Messagepar tuton » 12 Jan 2007 17:35

Normalement, (chez moi), j'ai un seul message avec byte of data puis une liste de reponse du genre:
64 bytes from 216.239.59.104: icmp_seq=3 ttl=243 time=37.5 ms
Si tu obtiens cela je pense que c'est la configuration de apt qui pose problème.

tu peux poster le resultat complet d'un ping vers google.fr ?
tu peux poster le resultat complet d'un ping vers 216.239.59.104 ?
tu peux poster le resultat complet de la commande route en tant que root?
ainsi que le resultat de la commande: cat /etc/apt/sources.list ?

Tout cela à partir de ton serveur merci...
Juste comme ça, c'est quoi le pack pour les newbies.?
tuton
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 03 Déc 2004 15:33

Messagepar sulimim » 12 Jan 2007 18:23

ping vers google

reponse : unknown host

( probleme DNS ? )





ping vers 216.239.59.104

Reponse : ping ..................59.104 56(84) bytes of data

Toujours pareil il attend attend attend attend et attend encore et apres CTRL C 401 packets transmitted

0 received, 100 % packet loss , time 400038ms

Y faut que je transfere des ports vers le serveur ? il est pas visible depuis le net quand il lance des requetes , ca se fait pas automatiquement ?






resultat de route :

Destination Passerelle Genmask Indic Metric Ref Use Iface

localnet * 255.255.255.0 U 0 0 0 eth 0

default 192.168.2.1 0.0.0.0 UG 0 0 0 eth0



cat /etc/apt/sources.list ( j'ai deja verifie sur le planet c'est les bonnes )



Le pack , c'est un pack d'extension pour aider a installer les addons pour ipcop ( oui c'est vrai c'est pas le nom , je parle du 2eme post-it dans la section ipcop ) desole !
Pseudo sous skype : mimilus

Au fait je cherche du boulot mais ca court vite comme bestiole
Avatar de l’utilisateur
sulimim
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 14 Déc 2005 00:02
Localisation: Vesoul - Haute saone - 70

Messagepar tuton » 12 Jan 2007 18:35

regarde peut être au niveau des log ipcop,
sur ipcop dans /var/log...
tu auras peut-être plus d'info.

Autrement, verifie bien que BOT est désactivé. Mais comme ton ipcop est traffiqué (non officiel) je ne sais pas trop comment elle réagit avec tous les addons.

Je te conseil de désactiver tous les services ipcop (les addons), de tester, de les réactiver un à un et entre chaque vérifier si ça marche.(Sauf si ca marche pas dès le debut...)

Vérifie aussi que le ping est autorisé,dans option du firewall.
tuton
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 03 Déc 2004 15:33

Messagepar sulimim » 12 Jan 2007 18:39

Si je bloque le ping depuis RED ca empeche juste le web de me pinguer non ?
Pseudo sous skype : mimilus

Au fait je cherche du boulot mais ca court vite comme bestiole
Avatar de l’utilisateur
sulimim
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 14 Déc 2005 00:02
Localisation: Vesoul - Haute saone - 70

Messagepar tuton » 12 Jan 2007 18:43

oui
Au fait quand tu dis ping serveur vers ipcop ça passe... ca veut dire ping du serveur vers 192.168.2.1?
tuton
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 03 Déc 2004 15:33

Messagepar Gesp » 12 Jan 2007 18:49

La partie orange n'est pas desservie par le cache dns défini sur IPCop.
Utilise les dns du FAI directement pour tous les serveurs en orange.
Dernière édition par Gesp le 12 Jan 2007 18:56, édité 1 fois au total.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar sulimim » 12 Jan 2007 18:52

Ok

J'ai mis les DNS du FAI apres le serveur ipcop au cas ou

Je n'ai mis que les DNS du FAI

Et c'est toujours la meme chose


Je tourne , tourne , retourne et finis par avoir le tournit
Pseudo sous skype : mimilus

Au fait je cherche du boulot mais ca court vite comme bestiole
Avatar de l’utilisateur
sulimim
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 14 Déc 2005 00:02
Localisation: Vesoul - Haute saone - 70

Messagepar tuton » 12 Jan 2007 18:59

et dans les logs...
tuton
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 03 Déc 2004 15:33

Messagepar sulimim » 12 Jan 2007 19:18

Les logs c'est à dire ? Lesquels ?

Je vais fouiner dans les entrailles de la bete alors .
Dernière édition par sulimim le 12 Jan 2007 20:37, édité 1 fois au total.
Pseudo sous skype : mimilus

Au fait je cherche du boulot mais ca court vite comme bestiole
Avatar de l’utilisateur
sulimim
Aspirant
Aspirant
 
Messages: 111
Inscrit le: 14 Déc 2005 00:02
Localisation: Vesoul - Haute saone - 70

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron